Cisco ASA és Cisco PIX tűzfalak sérülékenységei
Angol cím: 
Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerabilities
CERT-Hungary ID: 
CH-13506
Felfedezés dátuma: 
2016-08-19
Összefoglaló: 

A Cisco ASA Software Simple Network Management Protocol (SNMP) implementációjának magas kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók hitelesítés nélkül újraindíthatják az érintett Cisco eszközt, illetve tetszőleges kódot futtathatnak azon.

UPDATE 2016.08.19.:

A Cisco ASA terméket egy másik, (közepes kockázati besorolású) sérülékenység is sújt, amely egy autentikált, helyi rosszindulatú támadó számára szolgáltatás-megtagadás kondíció (DoS) megteremtését és tetszőleges kód futtatását teheti lehetővé. 

A Cisco PIX tűzfalak VPN kommunikációjának visszafejtéséhez használt, BENIGNCERTAIN-ként elnevezett exploit kód került napvilágra. 

Leírás: 

Az előbbi (CVE-2016-6366) sérülékenységet egy puffer túlcsordulási hiba okozza, amelyet speciálisan formázott SNMP csomagokkal lehet kihasználni. A támadónak az SNMP "community string" ismeretében, a sérülékenység kihasználásával tetszőleges kód futtatására nyílhat lehetősége, átvéve az eszköz feletti felügyeletet. A sérülékenység IPv4 forgalommal támadható csak.

Az utóbbi (CVE-2016-6367) biztonsági hiba a parancssori felületen keresztül használható ki, a hátterében pedig bizonyos érvénytelen parancsok futtathatósága áll.

A BENIGNCERTAIN exploit kód által érintett PIX tűzfalak 2002-től jelentek meg és 2009-ig támogatta a gyártó. Miután még vannak felhasználók, akik továbbra is használnak PIX eszközöket, a gyártó a kód vizsgálata alapján közölte, hogy a PIX v 5.3(9) - 6.3(5) verziók érintettek, a 7.0 és azt követő verziók nem. Az exploit-ot más, a Shadow Brokers csoport birtokában lévő exploit-okkal együtt használva a PIX eszközök feletti teljes adminisztratív kontrol megszerezhető lehet.

A CISCO a Shadow Brokers csoport által augusztus 15-én megjelentetett információk alapján értesült a problémákról. A nyilvánosságra hozott anyagok több tűzfal gyártó termékéhez készült exploit kódot is tartalmaztak.

Megoldás: 

Alkalmazza a gyártó által javasolt workaround-ot. Csak megbízható felhasználóknak adjanak SNMP hozzáférést és monitorozzák az érintett rendszereket az snmp-server parancscsal. A "community string" ne legyen triviális és javasolt a rendszeres változtatása.

CVE-2016-6367 esetében már elérhető javítás. (Lásd a gyártói hivatkozást!)

Javasolt a Cisco PIX eszközök cseréje illetve kiegészítő hálózati megoldásokkal történő ellátása.

UPDATE 2016.08.24.:

A gyártó idő közben frissítette a tájékoztatóját a CVE-2016-6366-hoz készült javítást tartalmazó release-ek táblázatával:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

Érintett verziók: 
CVE:CVE-2016-6366 esetében minden Cisco ASA szoftver release érintett.
CVE-2016-6367 esetében a Cisco ASA 9.2 előtti verziók.

Érintett eszközök:
Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches és Cisco 7600 Series Routers
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco Firepower 4100 Series
Cisco Firepower 9300 ASA Security Module
Cisco Firepower Threat Defense Software
Cisco PIX Firewals 5.3(9) - 6.3(5)
Cisco Firewall Services Module (FWSM)
Cisco Industrial Security Appliance 3000