Cisco ASA:n IKEv1- ja IKEv2-toteutuksessa kriittinen haavoittuvuus

Cisco ASA -laiteohjelmiston Internet Key Exchange -protokollan IKEv1- ja IKEv2-toteutuksissa on korjattu kriittinen haavoittuvuus. Haavoittuvuus mahdollistaa hyökkääjän koodin suorittamisen tai palvelunestoestohyökkäyksen, jos laitteelle lähetetään tietyllä tavalla muotoiltuja UDP-paketteja.

Cisco ASA -laitteiden IKEv1- ja IKEv2-toteutusten puskurin ylivuoto -tyyppinen haavoittuvuus mahdollistaa hyökkääjän koodin suorittamisen etänä tai laitteen uudelleenkäynnistämisen, jos VPN-tunnelin päätepisteeksi konfiguroidulle laitteelle lähetetään tietyllä tavalla muotoiltuja UDP-paketteja.

Haavoittuvuuden aktiivista skannaamista verkosta on havaittu. Haavoittuvat järjestelmät tulee päivittää viipymättä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuva ohjelmisto voi olla seuraavissa tuotteissa:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance


Haavoittuvuuden hyödyntäminen on mahdollista, jos laite on konfiguroitu IKEv1- tai IKEv2-VPN-tunnelin päätepisteeksi seuraavissa tapauksissa:

  • LAN-to-LAN IPsec VPN
  • VPN-etäyhteys IPsec VPN asiakasohjelmistolla
  • Layer 2 Tunneling Protocol (L2TP)-over-IPsec -tyyppiset VPN-yhteydet
  • IKEv2 AnyConnect


Haavoittuvuus ei koske järjestelmiä, joissa VPN-yhteyden tyyppi on Clientless SSL tai AnyConnect SSL.

Oman järjestelmänsä haavoittuvuuden voi tarkistaa komennolla

show running-config crypto map | include interface
Jos komento palauttaa crypto mapin, esimerkiksi "crypto map outside_map interface outside", järjestelmä on haavoittuva.

Ratkaisu- ja rajoitusmahdollisuudet:

Korjaava ohjelmistopäivitys

  • Cisco ASA sarjoissa 7.2, 8.2, 8.3, 8.5, ja 8.6: päivitä versioon 9.1(7)
  • Cisco ASA 8.4-sarja: päivitä versioon 8.4(7.30)
  • Cisco ASA 8.7-sarja: päivitä versioon 8.7(1.18)
  • Cisco ASA 9.0-sarja: päivitä versioon 9.0(4.38)
  • Cisco ASA 9.2-sarja: päivitä versioon 9.2(4.5)
  • Cisco ASA 9.3-sarja: päivitä versioon 9.3(3.7)
  • Cisco ASA 9.4-sarja: päivitä versioon 9.4(2.4)
  • Cisco ASA 9.5-sarja: päivitä versioon 9.5(2.2)

Ohjelmistopäivitys on ladattavissa Cisco.com-sivuston Software Centeristä tai sivulta http://www.cisco.com/cisco/software/navigator.html.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT , Kyberturvallisuus , NCSC-FI , Palvelunestohyökkäys , Reititys , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248