Cisco Adaptive Security Appliance

Cisco Adaptive Security Appliance, RCE en DoS kwetsbaarheid

Referentie: CERT.be Advisory #2018-002
Versie: 1.0

Geïmpacteerde software

Deze kwetsbaarheid treft apparaten die de geïmpacteerde Cisco ASA Software gebruiken en de webvpn feature hebben ingeschakeld. Netwerkbeheerders kunnen in CLI aan de hand van het show running-config webvpn commando achterhalen of webvpn ingeschakeld is. Bijvoorbeeld:
ciscoasa# show running-config webvpn
webvpn

Versie ASA Software achterhalen

Om de versie van de gebruikte ASA versie te achterhalen, kan het show version commando gebruikt worden. Het voorbeeld hieronder geeft het resultaat hiervan op een apparaat dat Cisco ASA Software Release 9.2(1) draait:
ciscoasa# show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)
Als Cisco Adaptive Security Device Manager (ASDM) wordt gebruikt om deze apparaten te beheren, kan de versie ook achterhaald worden linksboven in het loginscherm van Cisco ASDM.

Bron

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...

Risico

Deze kwetsbaarheid stelt een aanvaller in staat om om het even welke programmacode uit te voeren en de volledige controle over het apparaat te bekomen.

Samenvatting

Een kwetsbaarheid in de Secure Sockets Layer (SSL) VPN-functionaliteit van de Cisco Adaptive Security Appliance (ASA) Software kan een ongeauthenticeerde, externe aanvaller in staat stellen het getroffen systeem te herstarten (en onbeschikbaarheid te veroorzaken) of code op afstand uit te voeren.
De kwetsbaarheid is te wijten aan een poging om geheugen tweemaal vrij te geven (; double free) wanneer de webvpn-functie is ingeschakeld op het Cisco ASA-apparaat. Een aanvaller kan deze kwetsbaarheid misbruiken door meerdere XML-pakketten te verzenden naar een webvpn-configureerde interface op het betreffende systeem.
Cisco heeft software-updates uitgebracht die deze kwetsbaarheid verhelpen. Er is evenwel geen hotfix om deze kwetsbaarheid aan te pakken.

Aanbeveling

Cisco heeft gratis software-updates uitgebracht die deze kwetsbaarheid verhelpen. Als u een geïmpacteerde versie gebruikt, dient u deze bij te werken (zie onderstaande tabel).

1 - ASA Software versies voor 9.1, inclusief alle 8.x versies, en ASA versies 9.3 en 9.5 hebben End of Software Maintenance bereikt. Het is aangewezen te migreren naar een ondersteunde versie.