Már támadás alatt a Cisco ASA-k hibája

Kiegészítő javítást is kiadott a Cisco az ASA családhoz, miután a kiugróan veszélyes sebezhetőséget nem sikerült teljesen foltozni. Az eredeti bejelentéshez képest kiderült, hogy a szoftverben további hasonló hibák találhatóak, így az akkor kiadott javítást egy újabb, teljesebb változattal cserélte le a cég. "További vizsgálat után a Cisco újabb támadási vektorokat és sebezhető képességeket azonosított. Továbbá azt találtuk, hogy az első körben kiadott javítás nem teljes, így egy módosított verziót is kiadtunk." - mondta a cég február 5-i frissítése.

Cisco első híradásában még arról számolt be, hogy a sebezhetőség ellen élesben nem észlelt még támadást, azóta megérkeztek az első fecskék - sikeresnek egyelőre csak egy DoS-típusú támadás tűnik, a sokkal problémásabb távoli kódfuttatásra egyelőre nincs bizonyíték. Ez azonban már így is problémás, az interneten ülő ASA-k automatizált eszközökkel viszonylag gyorsan célozhatóak tömegesen, így még a kisebb cégek eszközei is veszélyben vannak, emiatt érdemes sürgősen frissíteni minden érintett eszközt.

A mostanában szokatlanul "márka" nélküli sebezhetőségről még január végén adtunk hírt. "A sebezhetőség azokat az eszközöket érinti, amelyek a Cisco ASA szoftver sérülékeny verzióját futtatják és aktív WebVPN funkcióval rendelkeznek" és legalább egy interfészen azt bekapcsolták. Maga a hiba egy double free típusú memóriakezelési probléma, a (hibásan) kétszer felszabadított memóriaterület memóriaszivárgáshoz vezet, amelyet egy támadó több, megfelelően preparált XML csomaggal támadhat, ennek következménye távoli kódfuttatás, az eszköz fölötti teljes jogosultságszerzés is lehet - írtuk akkor.

IT security meetup és Benk Dénes a SYSADMINDAY-en 4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.

A sebezhetőség a CVSS (Common Vulnerability Scoring System) alapján 10.0-s, tehát a létező legmagasabb besorolást kapta, miután távolról kódfuttatásra és DoS-típusú támadásokra is lehetőséget ad. Ráadásul ezeket a támadásokat, ahogy fentebb írtuk, nem kell különösebben pontosan célozni, ami a célpontokat különösen veszélyes helyzetbe hozza.

Emlékeztetőül: a gyártó szerint rengeteg ASA modell érintett, a 3000-es Industrial Security Appliance, a roppant népszerű ASA 5500 és ASA 5500-X szoftverek, a Catalyst 6500 és 7600-as sorozatokhoz vásárolható ASA szolgáltatásmodul, az ASA 1000V felhős tűzfal, az ASA virtuális kiadása (ASAv), illetve a Firepowerek közül a 2100, 4110, 9300-as modellek és a Firepower Threat Defense Software is.

A Cisco részletes leírása, a potenciálisan sebezhető konfigurációk és a javítások itt érhetőek el.