Закрываем уязвимость CVE-2018-0101 в Cisco ASA

Считается, что циски весьма отличаются секурностью, но и на старуху найдется проруха.

И не какая-то, а вполне себе полноценное RCE.

В данном случае речь о недавно анонсированной уязвимости CVE-2018-0101 в Cisco ASA, связанной с ошибками в обработке XML. Уязвимость позволяет без аутентификации удаленно выполнить произвольный код, ну или хотя бы вызвать отказ в обслуживании. Эсплуатируется через HTTPS сервисы или IKE2 RemoteAccess VPN. Эксплойтов не дам, сорян, ребята, они есть, но стоят $25k-$100k.

Далее имеем два пути — правильный и ленивый.

Правильный:

Вендор выпустил патчи уязвимости, надо их установить.

Исправленные версии: 9.1.7.23, 9.2.4.27, 9.4.4.16, 9.6.4.3, 9.7.1.21, 9.8.2.20, 9.9.1.2 и выше в ветках 9.1, 9.2, 9.4, 9.6, 9.7, 9.8 и 9.9. Другие ветки не поддерживаются и не обновлены.

Ленивый «не хотим ничего тестировать и обновлять»:

Можно отключить/ограничить доступ к уязвимым сервисам. Надо заметить, что способ ОЧЕНЬ неправильный, потому что сервисы когда-то могут оказаться внезапно включенными. Да и вообще нужны.

ASDM — скорей всего отключать не хочется, но можно ограничить доступ адресами админов:

 http <remote_ip_address> <remote_subnet_mask> <interface_name> 

AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN и Clientless SSL VPN — либо отключить, либо повесить ACL для списка легитимных клиентов (доступ к портам TCP/443, UDP/500 и где у вас настроен Client Services) . Можно юзать IPSec Remote Access с IKEv1, но он совместим только со старым VPN-клиентом Cisco, мда…

Local Certificate Authority — либо отключить (но тогда отвалится аутентификация по сертификатам, если не используется сторонний центр сертификации), либо повесить ACL для тех же клиентов (порт TCP/443).

Mobile Device Manager (MDM) Proxy — выключить или повесить ACL.

Mobile User Security (MUS) — та же фигня, порт конфигурируем, найти можно в строке конфигурации mus server enable port <port #>.

Proxy Bypass — опять же выключить или ACL (порт TCP/443 или другие, если настроены).

Все еще не хочется обновляться? =)

Источник : https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40