The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Серьезная уязвимость в межсетевых экранах Cisco ASA

13.02.2016 07:31

В межсетевых экранах Cisco ASA выявлена критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchange), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством.

Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN IPsec VPN, L2TP-over-IPsec, настроено подключение клиентов через IPsec VPN или используется IKEv2 AnyConnect. VPN на базе SSL проблема не затрагивает. Проверить подверженность системы уязвимости можно командой "show running-config crypto map | include interface", если на выходе показан настроенный для внешнего интерфейса "crypto map", то устройство может быть атаковано. Исправление доступно только через обновление прошивки.

Дополнение: Подробный разбор уязвимости и техника эксплуатации.

  1. Главная ссылка к новости (https://tools.cisco.com/securi...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43855-cisco
Ключевые слова: cisco, security, asa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, EuPhobos (ok), 10:14, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Так это ж проприетарщина? Причём тут опеннет?

    PS. Те, кто имеет циски и следит за безопасностью подписаны на соответствующие тематические форумы. А тут вроде бы OPEN.. нет?

     
     
  • 2.2, anonymous (??), 11:01, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Чтобы позлорадствовать
     
     
  • 3.11, cmp (ok), 17:21, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дадада, а то всякие пижоны-цисководы задолбали со своим нарцисизмом, да уже почти все оборудование на рынке лучше по соотношению цена/качество, может длинк хуже, но хуавей просто рвет в клочья, но московским дол..м хер че докажешь, циски и айфоны, б..ть, и похрену, что цена в пять раз выше аналога, а железо убогое го..но, ох как вспоминается отставной офицер-подводник, который предлагал шмальнуть ядерной ракетой по москве.
     
     
  • 4.12, Аноним (-), 19:36, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хуавею бы сначала Backspace в телнете обрабатывать научиться.
     
     
  • 5.13, Онаним (?), 20:29, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ошибаешься, юный падаван. Ты недостаточно усерден в изучении кунг-фу. После достижения истинного мастерства необходимость в backspace отпадает.
     
  • 5.14, Гуру (?), 23:22, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    забинди на ctrl-H
     
  • 5.17, leap42 (ok), 16:08, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Зачем использовать telnet при наличии ssh?
     
  • 4.21, Random (??), 10:20, 17/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    надо ввести в оборот "нарцискизм"
     
  • 2.3, Аноним (-), 11:16, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто оставлю это здесь, для тех кто Опен:
    http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=list&forum=vsluhfor
     

  • 1.4, Аноним (-), 12:54, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Это фича выполнения пакета для перенаправления всего трафика в ЦРУ и АНБ
     
  • 1.5, Аноним (-), 13:22, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть экслойт готовый,  потестировать?
     
     
  • 2.7, Аноним (-), 13:26, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Налетай https://blog.exodusintel.com/2016/02/10/firewall-hacking/
     
     
  • 3.15, Аноним (-), 08:41, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кажись уже началось создание ботнетов. :)

    В логах моего домашнего роутера с OpenWrt, на котором настроен ipsec-tools для связи с офисным маршрутизатором, сегодня целый день плодятся записи о попытках соединения на 500-ый порт с разных IP-адресов. Типа таких - racoon: ERROR: Invalid exchange type 243 from 85.99.68.73[500].

    Кстати, в мае прошлого года, для ipsec-tools публиковали информацию о схожей уязвимости ( https://www.altsci.com/ipsec/ipsec-tools-sa.html ). Тогда мне пришлось руками пересобирать ipsec-tools для OpenWrt с патчем ( http://seclists.org/fulldisclosure/2015/May/83 ), так как создатели OpenWrt практически не следят за проблемами безопасности в своих репозиториях с пакетами.

     
     
  • 4.19, Аноним (-), 21:44, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тем кто пользуется ipsec - так и надо. Он большой и слодный и потому обреченн быть бажным и дырявым при плохой защите траффика.
     
     
  • 5.20, anonymous (??), 20:04, 15/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем кто пользуется ipsec - так и надо. Он большой и слодный
    > и потому обреченн быть бажным и дырявым при плохой защите траффика.

    В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по пунктам, что там именно большое и сложное?

     
     
  • 6.22, Анонис (?), 03:16, 18/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по
    > пунктам, что там именно большое и сложное?

    Сложный обмен ключами, который ничего особого не достигает в плане криптографии. Множество опций и сочетаний, многие из них небезопасные. Легко обнаруживается и режется да и просто застревает на ближайшем файрволе/nat. Зато настройка довольно утомительная в любой ОС. Ты конечно можешь гордиться тем что смог скушать эти кошачьи экскременты, но вкуснее от этого не станет.

     

  • 1.6, Аноним (-), 13:24, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В межсетевых экранах Cisco ASA выявлена критическая уязвимость

    Автор уязвимости бросил кличь, что если сами не исправят то он в любом случае сделает потом слив для народа.
    Cisco решила бежать впереди и писать разоблачения, что это они сами нашли...

     
     
  • 2.10, anonymous (??), 16:42, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    нашедший уязвимость это не совсем автор,
    автор - неизвестный погромист циски, наверное
     
     
  • 3.18, Аноним (-), 18:50, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В циске программистов почти не осталось. Они не могли это найти сами.
     

  • 1.16, OasisInDesert (??), 11:37, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо,
    Будем иметь в виду.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру