Cisco divulga lista de vulnerabilidades no software do ASA

A Cisco divulgou ontem (08/10/14) uma lista de vulnerabilidades que afetam as versões 7.2, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 9.0, 9.1, 9.2 e 9.3 de software do ASA. Parte destas vulnerabilidades estão relacionadas a funcionalidades que são habilitadas por padrão, e outras estão relacionadas a VPN. Ou seja, a lista impactada em quase todos os ASAs em uso.

Equipamentos afetados:

Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)

Lista de vulnerabilidades:

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability
Cisco ASA VPN Denial of Service Vulnerability
Cisco ASA IKEv2 Denial of Service Vulnerability
Cisco ASA Health and Performance Monitor Denial of Service Vulnerability
Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability
Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
Cisco ASA VPN Failover Command Injection Vulnerability
Cisco ASA VNMC Command Input Validation Vulnerability
Cisco ASA Local Path Inclusion Vulnerability
Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability
Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability
Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Explorar as vulnerabilidades SQL*NET Inspection Engine Denial of Service Vulnerability, Cisco ASA VPN Denial of Service Vulnerability, Cisco ASA IKEv2 Denial of Service Vulnerability, Cisco ASA Health and Performance Monitor Denial of Service Vulnerability, Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability, Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability, and Cisco ASA DNS Inspection Engine Denial of Service Vulnerability pode fazer o dispositivo reiniciar.

Já as vulnerabilidades Cisco ASA VPN Failover Command Injection Vulnerability, Cisco ASA VNMC Command Input Validation Vulnerability, and Cisco ASA Local Path Inclusion Vulnerability podem resultar no total comprometimento do sistema.

A exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability pode permitir o vazamento de informações internas e causar o reload do equipamento, enquanto a exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability pode levar a alguns tipos de ataque, como cross-site scripting (XSS), roubo de credenciais, e redirecionamento dos usuários para páginas maliciosas, entre outras.

Por fim, explorar com sucesso a vulnerabilidade Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability, permite ao atacante ter acesso a rede interna e acesso administrativo ao equipamento.

Abaixo temos a tabela das versões de software afetadas e a primeira release que contém a correção, para cada versão.

Os administradores devem atualizar para um versão igual ou superior à listada na tabela, sendo que na última coluna temos a versão 9.3(1.1), que será lançada dia 20 de outubro e corrigirá todas as vulnerabilidades.

Por exemplo, se seu equipamento está na versão 8.4(3) ele está vulnerável, como podemos ver na coluna “8.4”. Você pode fazer o upgrade para a versão 8.4.(7.23) e corrigir todos os problemas. Ou ainda ir para uma versão mais nova que também corrija o problema (9.0(4.24), 9.1(5.12) ou 9.3(1.1)). A versão de software com a correção destas vulnerabilidades é liberada pela Cisco gratuitamente.

Outra opção, para alguns destes itens, seria desabilitar a funcionalidade, mas acredito que na maioria dos casos isso é inviável.

Verificando quais vulnerabilidades afetam seu equipamento

Para saber quais destas vulnerabilidades afetam seu equipamento basta usar os comandos abaixo. Caso haja retorno (algum output do comando) seu equipamento está vulnerável.

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include sqlnet

Inspect: sqlnet, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA VPN Denial of Service Vulnerability

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA IKEv2 Denial of Service Vulnerability

ciscoasa# show running-config crypto ikev2 | include enable

crypto ikev2 enable outside (AFETADO)

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

ciscoasa# show running-config | include hpm

hpm topn enable (AFETADO)

Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include gtp

Inspect: gtp, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include sunrpc

Inspect: sunrpc, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include dns

Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0 (AFETADO)

Cisco ASA VPN Failover Command Injection Vulnerability

ciscoasa# show running-config webvpn | include anyconnect enable

anyconnect enable

Ou

ciscoasa# show run crypto map | include interface

crypto map outside_map interface outside

E

ciscoasa# show failover

Failover On […](AFETADO)

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

ciscoasa# show running-config webvpn

webvpn enable outside […]

E

ciscoasa# show running-config http

http server enable 444 (AFETADO)

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA

crypto ca trustpoint _SmartCallHome_ServerCA crl configure (AFETADO)

Note que as vulnerabilidades Cisco ASA VNMC Command Input Validation Vulnerability e Cisco ASA Local Path Inclusion Vulnerability afetam todos os equipamentos com as referidas versões de software.

Todas as informações sobre estas vulnerabilidades, instruções para obter a versão que corrige o problema e mais informações neste link.

Até a próxima.

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts

Relacionado

victorinoadmin em Componentes AVI Networks Load Balancer (NSX Advanced Load Balancer)24/11/2025
Ótimo material! Seria bem legal se aprofundar mais no tema.
./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE29/10/2024
Excelente conteúdo, André! Obrigado por compartilhar.
André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)18/10/2024
Quando é feito o reset, sim volta a ter os 90 dias de trial. No procedimento acima, confesso que não…
ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)15/10/2024
Muito boa a dica, mas ficou a duvida sobre a licença, com reset de fabrica ela volta para os 90…
André Ortega em Atualizando Cisco 9300 (Install Mode)30/08/2024
Olá Dominique. Essas são os arquivos usados para cada modo (install ou bundle). O modo install (que "quebra o arquivo…

André Ortega

Related Stories

Configurando Syslog no Cisco Firewall (FMC)

Senhas vazadas em escala: lições do relatório 2026

Certificados de Usuário para Autenticação 802.1x

You may have missed

Configurando Syslog no Cisco Firewall (FMC)

Como identificar um MAC Address aleatório (Locally Administered)

Senhas vazadas em escala: lições do relatório 2026

Certificados de Usuário para Autenticação 802.1x