1月末に、シスコはCisco ASAファイアウォールの
CVE-2018-0101の重大な脆弱性を
発表しました。 攻撃者は悪意のあるコードをリモートで実行し、DDoS攻撃を実行し、システムを再起動することができました。
現在まで、この脆弱性は「クローズ」されています。
この状況を理解し、攻撃ベクトルを詳しく調べることにしました。
/ Flickr / ホルスト・ガットマン / ccこの脆弱性は何ですか?
この問題は、情報セキュリティNCCグループのコンサルティング会社の研究者セドリックハルブロン(セドリックハルブロン)
によって発見されました 。 これは、Cisco Adaptive Security Appliance XMLパーサーに基づいており、XMLメッセージを処理する際のメモリの割り当てと解放に関連付けられていました。
ハッカーは、特別に細工されたXMLメッセージをターゲットデバイスのWebVPNインターフェイスに送信して、システムのメモリの一部を連続して数回解放する可能性があります。 これにより障害が発生し、攻撃者は悪意のあるコードを実行したり、システムメモリブロックのデータを変更したり、DDoS攻撃を実行したりすることができました。
この脆弱性は、3000シリーズの産業用セキュリティアプライアンスとASA 5500-Xシリーズの次世代ファイアウォールからFirepowerセキュリティアプライアンスとFirepower Threat Defense(FTD)モジュールまで、合計で10以上のシスコソリューションに
影響を及ぼしました 。 完全なリストは
ここにあります 。
シスコはまた、13のASAソフトウェアの脆弱性を発見しました。
その中には、AnyConnect IKEv2があります。
crypto ikev2 enable <interface_name> webvpn anyconnect enable
セキュリティポリシーCisco Security Managerを使用するためのソリューション:
http server enable <port> http <remote_ip_address> <remote_subnet_mask> <interface_name>
また、REST API:
rest-api image disk0:/<image name> rest-api agent
Firepower Threat Defense機能もリストされています:アクティブHTTPサービス、AnyConnect SSL VPN、およびAnyConnect IKEv2。
脆弱性パッチ
脆弱性は、CVSSの重大度で最高と評価されました。 また、シスコで述べたように、ユーザーは潜在的なすべての脅威(機能を保持)から自分自身を守ることができませんでした。 CLIコマンドを使用してASDMアクセスを設定することによってのみ、信頼できるホストの数を制限できます。
http <remote_ip_address> <remote_subnet_mask> <interface_name>。そのため、シスコは脆弱性をカバーするパッチを緊急にリリースしました。 しかし、数日後、開発者によって提示された「パッチ」はすべての問題を解決しなかった
ことが判明しました。
会社は追加の調査を実施し、より多くの決定が危険にさらされていることを発見しました。 同時に、初期パッチは追加のDoS脆弱性を
作成しました。 その後、シスコは新しい一連のアップデートのリリースを急いでおり、できるだけ早くインストールすることを推奨しました。
一部のシステム管理者は、新しい更新に関する情報に熱心ではありませんでした。 最初のパッチはすでにインストールされており、更新が繰り返されるとダウンタイムが長くなります。
すべてのアップデートは、
Cisco Software CenterのProducts> Security> Firewallsで利用できるようになりました。 現時点では、この脆弱性は完全に閉じられていると見なされており、シスコによると、ハッカー攻撃
に使用することはできませんでした 。
1cloudの企業ブログからのいくつかの資料: