The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В реализации VPN в Cisco ASA и Firepower выявлена критическая уязвимость

30.01.2018 19:14

Компания Cisco предупредила об обнаружении опасной уязвимости (CVE-2018-0101) в реализации VPN, предлагаемой в продуктах Cisco Adaptive Security Appliance (ASA) и Firepower, которая позволяет удалённому атакующему без аутентификации выполнить код или инициировать перезагрузку устройства. Проблеме присвоен максимальный уровень опасности (CVSS) - 10 из 10.

Уязвимость проявляется при активной функции webvpn и эксплуатируется через отправку серии пакетов, содержащих специально оформленные данные в формате XML, на сетевой интерфейс для которого включен webvpn. Пользователям Cisco ASA и Firepower с поддержкой webvpn рекомендует срочно установить обновление или отключить webvpn. Для проверки активности webvpn в CLI можно выполнить команду "show running-config webvpn".

  1. Главная ссылка к новости (https://tools.cisco.com/securi...)
  2. OpenNews: Cisco судится с Arista из-за повторения интерфейса командной строки
  3. OpenNews: Уязвимость в Apache Struts может затрагивать различные продукты Cisco
  4. OpenNews: В Cisco IOS устранены уязвимости, удалённо эксплуатируемые по SNMP
  5. OpenNews: Устранена критическая уязвимость, затрагивающая 318 моделей коммутаторов Cisco
  6. OpenNews: Серия уязвимостей в продуктах Cisco, выявленных после публикации эксплоитов АНБ
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47991-cisco
Ключевые слова: cisco
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, zanswer CCNA RS and S (?), 19:36, 30/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это так называемый Clientless SSL VPN, наверное самый редко используемый тип из доступных на ASA/Firepower.
     
     
  • 2.14, Аноним (-), 23:04, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    теперь понятна логика размещения бэкдоров
     
  • 2.15, пох (?), 23:11, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    в Роиссе - поскольку лицензируется per client, а у нас денег нет А у всех ост... большой текст свёрнут, показать
     
     
  • 3.22, Аноним (-), 00:32, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и новый бинарь асы им не светит.

    "but even if you don't have a service contract you can obtain the update from TAC"

     
  • 3.24, лютый жабист__ (?), 06:46, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >индусятина без xml уже не умеет программировать

    Баг в кривом сишном поделии, а виновата некая индусятина? Эксперты, такие эксперты.

    Циско вам не фофан, чтобы переписывать весь софт каждые пару лет, в итоге топтаться на одном месте по 15 лет, потому что XML религия не позволяет любить.

     
     
  • 4.48, Аноним (-), 17:30, 02/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Циско вам не фофан, чтобы переписывать весь софт каждые пару лет, в
    > итоге топтаться на одном месте по 15 лет, потому что XML
    > религия не позволяет любить.

    Перепищи блин на яве с XMLем, посмотрим много ли твой роутер наВПНит и сможешь ли ты сделать циску по продажам.

     
  • 3.25, zanswer CCNA RS and S (?), 07:25, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И за пределами РФ тоже на мой взгляд, потому, что работает через браузер, прямой обмен пакетами между требуемыми службами вообще не возможен, для каждого приложения нужен свой провайдер. И возможности провайдеров, очень далеки от того, что доступно в случае классических приложений.

    Но, для ряда сценариев он конечно может быть более удобен/предпочтителен, например при необходимости подключится с чужой рабочей станции временно для доступа к паре файлов на файловом сервере.

    Cisco Any Connect так же лицензируется на подключение, какая разница, к тому же к примеру Webvpn только недавно появился в FTD, что тоже много говорит о его востребованности клиентами.

     
     
  • 4.27, пох (?), 09:03, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > И за пределами РФ тоже на мой взгляд

    за пределами уже почти везде sslvpn.
    А какие-то другие asa-based уже и не модно давно.

    > потому, что работает через браузер, прямой обмен пакетами между требуемыми службами вообще не
    > возможен, для каждого приложения нужен свой провайдер

    это и хорошо.
    и работает везде, а не только там где косорукие админы знают что-то кроме permit tcp permit udp

    собственно, на этом (плюс заносы и откаты нашим госчиновникам) конкурентные преимущества устаревшей на 20 лет платформы файрвола на базе неуклюжего пакетного фильтра и кончаются.
    (не надо мне про модули, там внутри такое же линуксно-xmlное дерьмо, устаревшее не на 20, а только
    на десять лет, лопающееся, как та лягушка, на более-менее приличном траффике)

    > Cisco Any Connect так же лицензируется на подключение

    кто ж им платит-то в стране бесплатного фотошопа. Лицензия на нормальные vpn'ы - она внутри ящика и чохом на 50/250/больше. А ssl - на два ;-)
    И все грустненько, счетчик внутри асы кончился - новые соединения просто рвет, пока денег не дашь.

     
     
  • 5.49, Аноним (-), 20:48, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > собственно, на этом (плюс заносы и откаты нашим госчиновникам) конкурентные преимущества устаревшей на 20 лет платформы файрвола на базе неуклюжего пакетного фильтра и кончаются.

    (не надо мне про модули, там внутри такое же линуксно-xmlное дерьмо, устаревшее не на 20, а только
    на десять лет, лопающееся, как та лягушка, на более-менее приличном траффике)

    А что же тогда брать из оборудования в этом классе?
    И ещё один вопрос. Какое отношение к чекпоинтовским продуктам?

     
  • 3.33, Аноним (-), 09:54, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    твой текст сложнее разбирать чем xml.
     
     
  • 4.41, Аноним (-), 16:35, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ты попробуй текст читать, а не разбирать.
     
  • 2.36, amonymous (?), 11:32, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не сказал бы насчёт "редко используемого". У нас он везде сплошь и рядом. Не эта страна, правда.
     
     
  • 3.40, zanswer CCNA RS and S (?), 16:34, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Именно Clientless SSL VPN или Client based SSL VPN? Для каких нужд используете? Понятно, что для Remote Access, я имею ввиду для BYOD устройств, экстранета, etc?
     

  • 1.3, Аноним (-), 20:27, 30/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Firepower... Какой васян придумывает названия? Анимешник чтоли...
     
     
  • 2.11, NV30 (ok), 21:54, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше это был Sourcefire, собсно поэтому модуль зовётся sfr. Так что Firepower это ок)
     
  • 2.18, Аноним (-), 23:43, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Думаешь в индии смотрят аниме?
     
     
  • 3.42, Аноним (-), 16:42, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Думаешь в индии смотрят аниме?

    Дорогой школьник! В Индии живёт более 1,3 миллиарда человек.

    Уж хотя бы двое их них смотрят аниме.

    И освой уже поисковые системы, чтобы не задавать такое тупые вопросы, как этот.

    Твой Кэп.

     
  • 3.44, Аноним (-), 17:46, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да. В нём танцуют и поют.
     

  • 1.4, Akteon (?), 20:52, 30/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Уязвимость- бекдор АНБ, о котором стало известно публике"
                                    Амброс Г. Бирс . Новый словарь Сатаны.
    Вальхалла-пресс, Фолькванг ,2014 , изд 6-е испр. и доп.
     
  • 1.5, AMDGPUi915 (?), 21:17, 30/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Dell купил VMware
     
     
     
    Часть нити удалена модератором

  • 3.9, AMDGPUi915 (?), 21:53, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Стало известно о необычном способе превращения Dell Technologies в публичную компанию. Американский производитель компьютерной техники хочет продать себя дочерней компании VMware.

    По их сведениям, Dell собирается выйти на биржу без выполнения типичных формальностей.
    Ускоренная программа заключается в том, что VMware формально поглотит Dell, что позволит последней быстро совершить IPO.

     
     
  • 4.23, Crazy Alex (??), 00:44, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, зачем их вообще в публичные компании понесло?
     
     
  • 5.28, vmware (?), 09:04, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, зачем их вообще в публичные компании понесло?

    дэнгы кончылыс, вах!

    зачем еще, по-твоему, продают акции?

     
  • 3.10, Светослав (?), 21:53, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А чем он не устраивает то? Работает не хуже VB.
     
     
  • 4.13, Аноним (-), 22:43, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А чем он не устраивает то? Работает не хуже VB.

    ежели родоначальника отрасли такой фразой сравнивают с наколеночной поделочкой, это уже говорит о чём-то

     
     
  • 5.20, пох (?), 23:49, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> А чем он не устраивает то? Работает не хуже VB.
    > ежели родоначальника отрасли такой фразой сравнивают с наколеночной поделочкой, это уже
    > говорит о чём-то

    об уровне местных "специалистов" говорит. (включая и тех, кто считают разработку sun "наколеночной поделочкой". Другое дело что sun доделать не успела, а идиоты - старательно портили. Но vmware тоже старательно портили и продолжают безостановочно.)

     
     
  • 6.26, Аноним (-), 07:41, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    клоуняшечка, виртуалбокс это не разработка сан, это попытка улучшить qemu очередными стартаперами, которых сан купил на всякий случай, шоб деньги зря не лежали.
     
  • 6.30, EHLO (?), 09:24, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > об уровне местных "специалистов" говорит. (включая и тех, кто считают разработку sun
    > "наколеночной поделочкой".

    Тоже соглашусь. SUN ― это настоящий, аутентичный интерпрайз, почти как Майкрософт. К примеру, недавно новость была про Ping of Death в Солярисе 10.

     
     
  • 7.31, G0Dzilla (ok), 09:33, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Тоже соглашусь. SUN ― это настоящий, аутентичный интерпрайз, почти как Майкрософт.
    > К примеру, недавно новость была про Ping of Death в Солярисе
    > 10.

    +100500 за шутку, что Мелкомягкие - это энтерпрайз. Так тонко, что даже толсто... Или наоборот.

     
     
  • 8.46, _ (??), 23:33, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты лучше этот клей не нюхай Ключница делала С ВИМП... текст свёрнут, показать
     
  • 4.29, EHLO (?), 09:16, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем он не устраивает то? Работает не хуже VB.

    Согласен, но для опеннета слишком тонко

     
  • 2.37, Аноним (-), 11:36, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может наконец нормально заработает это пoделие...
     

  • 1.17, Аноним (-), 23:19, 30/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Господи, это 10 из 10!
     
  • 1.34, Социолог (?), 10:14, 31/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что, если бы это был открытый проект и:
    реализация была на PHP - было бы немного наболевших комментов от хипстеров;
    реализация была на JS - было бы много других злорадствований олдфагов против смузи, чёткий коммент про смузи мог бы прикрутить много плюсов;
    реализация была на C - то некто упоминул бы Rust и указатели и получил минусов от большинства.
    Скучно.
     
     
  • 2.35, Аноним (-), 11:20, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы хотели бы, чтобы вам тут чечётку сплясали, чтобы нескучно было?
     
     
  • 3.38, 1 (??), 12:43, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и обои поменяли
     
     
  • 4.39, Аноним (-), 14:01, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и на свадьбу
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру