The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.02.2016 07:31  Серьезная уязвимость в межсетевых экранах Cisco ASA

В межсетевых экранах Cisco ASA выявлена критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchange), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством.

Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN IPsec VPN, L2TP-over-IPsec, настроено подключение клиентов через IPsec VPN или используется IKEv2 AnyConnect. VPN на базе SSL проблема не затрагивает. Проверить подверженность системы уязвимости можно командой "show running-config crypto map | include interface", если на выходе показан настроенный для внешнего интерфейса "crypto map", то устройство может быть атаковано. Исправление доступно только через обновление прошивки.

Дополнение: Подробный разбор уязвимости и техника эксплуатации.

  1. Главная ссылка к новости (https://tools.cisco.com/securi...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cisco, security, asa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, EuPhobos (ok), 10:14, 13/02/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +7 +/
    Так это ж проприетарщина? Причём тут опеннет?

    PS. Те, кто имеет циски и следит за безопасностью подписаны на соответствующие тематические форумы. А тут вроде бы OPEN.. нет?

     
     
  • 2.2, anonymous (??), 11:01, 13/02/2016 [^] [ответить]    [к модератору]
  • +9 +/
    Чтобы позлорадствовать
     
     
  • 3.11, cmp (ok), 17:21, 13/02/2016 [^] [ответить]    [к модератору]
  • +1 +/
    дадада, а то всякие пижоны-цисководы задолбали со своим нарцисизмом, да уже почти все оборудование на рынке лучше по соотношению цена/качество, может длинк хуже, но хуавей просто рвет в клочья, но московским дол..м хер че докажешь, циски и айфоны, б..ть, и похрену, что цена в пять раз выше аналога, а железо убогое го..но, ох как вспоминается отставной офицер-подводник, который предлагал шмальнуть ядерной ракетой по москве.
     
     
  • 4.12, Аноним (-), 19:36, 13/02/2016 [^] [ответить]    [к модератору]
  • –1 +/
    Хуавею бы сначала Backspace в телнете обрабатывать научиться.
     
     
  • 5.13, Онаним (?), 20:29, 13/02/2016 [^] [ответить]    [к модератору]
  • +/
    Ты ошибаешься, юный падаван. Ты недостаточно усерден в изучении кунг-фу. После достижения истинного мастерства необходимость в backspace отпадает.
     
  • 5.14, Гуру (?), 23:22, 13/02/2016 [^] [ответить]    [к модератору]  
  • +/
    забинди на ctrl-H
     
  • 5.17, leap42 (ok), 16:08, 14/02/2016 [^] [ответить]    [к модератору]  
  • +/
    Зачем? Зачем использовать telnet при наличии ssh?
     
  • 4.21, Random (??), 10:20, 17/02/2016 [^] [ответить]    [к модератору]  
  • +/
    надо ввести в оборот "нарцискизм"
     
  • 2.3, Аноним (-), 11:16, 13/02/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Просто оставлю это здесь, для тех кто Опен:
    https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=list&forum=vsluhfor
     
  • 1.4, Аноним (-), 12:54, 13/02/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Это фича выполнения пакета для перенаправления всего трафика в ЦРУ и АНБ
     
  • 1.5, Аноним (-), 13:22, 13/02/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А есть экслойт готовый,  потестировать?
     
     
  • 2.7, Аноним (-), 13:26, 13/02/2016 [^] [ответить]    [к модератору]  
  • +/
    Налетай https://blog.exodusintel.com/2016/02/10/firewall-hacking/
     
     
  • 3.15, Аноним (-), 08:41, 14/02/2016 [^] [ответить]     [к модератору]  
  • +/
    Кажись уже началось создание ботнетов В логах моего домашнего роутера с Open... весь текст скрыт [показать]
     
     
  • 4.19, Аноним (-), 21:44, 14/02/2016 [^] [ответить]    [к модератору]  
  • +/
    Тем кто пользуется ipsec - так и надо. Он большой и слодный и потому обреченн быть бажным и дырявым при плохой защите траффика.
     
     
  • 5.20, anonymous (??), 20:04, 15/02/2016 [^] [ответить]    [к модератору]  
  • +/
    > Тем кто пользуется ipsec - так и надо. Он большой и слодный
    > и потому обреченн быть бажным и дырявым при плохой защите траффика.

    В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по пунктам, что там именно большое и сложное?

     
     
  • 6.22, Анонис (?), 03:16, 18/02/2016 [^] [ответить]    [к модератору]  
  • +/
    > В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по
    > пунктам, что там именно большое и сложное?

    Сложный обмен ключами, который ничего особого не достигает в плане криптографии. Множество опций и сочетаний, многие из них небезопасные. Легко обнаруживается и режется да и просто застревает на ближайшем файрволе/nat. Зато настройка довольно утомительная в любой ОС. Ты конечно можешь гордиться тем что смог скушать эти кошачьи экскременты, но вкуснее от этого не станет.

     
  • 1.6, Аноним (-), 13:24, 13/02/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Автор уязвимости бросил кличь, что если сами не исправят то он в любом случае сд... весь текст скрыт [показать]
     
     
  • 2.10, anonymous (??), 16:42, 13/02/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    нашедший уязвимость это не совсем автор,
    автор - неизвестный погромист циски, наверное
     
     
  • 3.18, Аноним (-), 18:50, 14/02/2016 [^] [ответить]    [к модератору]  
  • +/
    В циске программистов почти не осталось. Они не могли это найти сами.
     
  • 1.16, OasisInDesert (??), 11:37, 14/02/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо,
    Будем иметь в виду.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor