The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.02.2016 07:31  Серьезная уязвимость в межсетевых экранах Cisco ASA

В межсетевых экранах Cisco ASA выявлена критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchange), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством.

Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN IPsec VPN, L2TP-over-IPsec, настроено подключение клиентов через IPsec VPN или используется IKEv2 AnyConnect. VPN на базе SSL проблема не затрагивает. Проверить подверженность системы уязвимости можно командой "show running-config crypto map | include interface", если на выходе показан настроенный для внешнего интерфейса "crypto map", то устройство может быть атаковано. Исправление доступно только через обновление прошивки.

Дополнение: Подробный разбор уязвимости и техника эксплуатации.

  1. Главная ссылка к новости (https://tools.cisco.com/securi...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cisco, security, asa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, EuPhobos, 10:14, 13/02/2016 [ответить] [смотреть все]
  • +7 +/
    Так это ж проприетарщина? Причём тут опеннет?

    PS. Те, кто имеет циски и следит за безопасностью подписаны на соответствующие тематические форумы. А тут вроде бы OPEN.. нет?

     
     
  • 2.2, anonymous, 11:01, 13/02/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +9 +/
    Чтобы позлорадствовать
     
     
  • 3.11, cmp, 17:21, 13/02/2016 [^] [ответить] [смотреть все]
  • +1 +/
    дадада, а то всякие пижоны-цисководы задолбали со своим нарцисизмом, да уже почт... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 19:36, 13/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Хуавею бы сначала Backspace в телнете обрабатывать научиться.
     
     
  • 5.13, Онаним, 20:29, 13/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты ошибаешься, юный падаван Ты недостаточно усерден в изучении кунг-фу После д... весь текст скрыт [показать]
     
  • 5.14, Гуру, 23:22, 13/02/2016 [^] [ответить] [смотреть все]  
  • +/
    забинди на ctrl-H
     
  • 5.17, leap42, 16:08, 14/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Зачем? Зачем использовать telnet при наличии ssh?
     
  • 4.21, Random, 10:20, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    надо ввести в оборот "нарцискизм"
     
  • 2.3, Аноним, 11:16, 13/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Просто оставлю это здесь, для тех кто Опен http www opennet ru cgi-bin openfo... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 12:54, 13/02/2016 [ответить] [смотреть все]  
  • +4 +/
    Это фича выполнения пакета для перенаправления всего трафика в ЦРУ и АНБ
     
  • 1.5, Аноним, 13:22, 13/02/2016 [ответить] [смотреть все]  
  • +/
    А есть экслойт готовый,  потестировать?
     
     
  • 2.7, Аноним, 13:26, 13/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Налетай https://blog.exodusintel.com/2016/02/10/firewall-hacking/
     
     
  • 3.15, Аноним, 08:41, 14/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Кажись уже началось создание ботнетов В логах моего домашнего роутера с Open... весь текст скрыт [показать]
     
     
  • 4.19, Аноним, 21:44, 14/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Тем кто пользуется ipsec - так и надо Он большой и слодный и потому обреченн бы... весь текст скрыт [показать]
     
     
  • 5.20, anonymous, 20:04, 15/02/2016 [^] [ответить] [смотреть все]  
  • +/
    > Тем кто пользуется ipsec - так и надо. Он большой и слодный
    > и потому обреченн быть бажным и дырявым при плохой защите траффика.

    В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по пунктам, что там именно большое и сложное?

     
     
  • 6.22, Анонис, 03:16, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    > В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по
    > пунктам, что там именно большое и сложное?

    Сложный обмен ключами, который ничего особого не достигает в плане криптографии. Множество опций и сочетаний, многие из них небезопасные. Легко обнаруживается и режется да и просто застревает на ближайшем файрволе/nat. Зато настройка довольно утомительная в любой ОС. Ты конечно можешь гордиться тем что смог скушать эти кошачьи экскременты, но вкуснее от этого не станет.

     
  • 1.6, Аноним, 13:24, 13/02/2016 [ответить] [смотреть все]  
  • +/
    Автор уязвимости бросил кличь, что если сами не исправят то он в любом случае сд... весь текст скрыт [показать]
     
     
  • 2.10, anonymous, 16:42, 13/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    нашедший уязвимость это не совсем автор, автор - неизвестный погромист циски, на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 18:50, 14/02/2016 [^] [ответить] [смотреть все]  
  • +/
    В циске программистов почти не осталось. Они не могли это найти сами.
     
  • 1.16, OasisInDesert, 11:37, 14/02/2016 [ответить] [смотреть все]  
  • +/
    Спасибо,
    Будем иметь в виду.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor