- PVSM.RU - https://www.pvsm.ru -
В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 [1] в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.
Подробное описание:
blog.exodusintel.com/2016/02/10/firewall-hacking [2]
Узвимости подвержены следующие устройства:
Уже доступны исправленные версии ОС:
Базовая версия | Исправление |
---|---|
7.2 | 9.1(7) |
8.2 | 9.1(7) |
8.3 | 9.1(7) |
8.4 | 8.4(7.30) |
8.5 | не подвержена |
8.6 | 9.1(7) |
8.7 | 8.7(1.18) |
9.0 | 9.0(4.38) |
9.1 | 9.1(7) |
9.2 | 9.2(4.5) |
9.3 | 9.3(3.7) |
9.4 | 9.4(2.4) |
9.5 | 9.5(2.2) |
Для большинства современных ОС исправление доступно в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM, а на портале загрузки [3] четвёртая цифра версии указана только в Release Notes.
Не перепутайте файл прошивки при загрузке: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X имя будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.
В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств. Его и другие проблемы обсуждают в /networking [4].
В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane
Зоркил глаз Sourg [5] приметил абзац для тех, чей контракт истёк, сломался или потерялся. Для получения обновлений с инструкцией по установке обращайтесь в TAC с серийным номером и ссылкой на бюллетень:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html [6]
Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но потом заметил странное [7] в просьбе страждущего и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее.
Если вы уверены в своих силах и не боитесь преключений, то читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.
Автор: navion
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/cisco/112219
Ссылки в тексте:
[1] CVE-2016-1287: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
[2] blog.exodusintel.com/2016/02/10/firewall-hacking: https://blog.exodusintel.com/2016/02/10/firewall-hacking/
[3] портале загрузки: http://www.cisco.com/cisco/software/navigator.html
[4] /networking: https://www.reddit.com/r/networking/comments/45g8dp/heads_up_if_you_are_patching_asas_for_cve20161287/
[5] Sourg: https://habrahabr.ru/users/sourg/
[6] www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html: http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
[7] странное: http://www.anticisco.ru/forum/viewtopic.php?f=2&t=6537&start=1150#p64089
[8] Источник: https://habrahabr.ru/post/277173/
Нажмите здесь для печати.