SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Cisco divulga lista de vulnerabilidades no software do ASA
24/05/2022

Cisco divulga lista de vulnerabilidades no software do ASA

Cisco divulga lista de vulnerabilidades no software do ASA

by André Ortega / quinta-feira, 09 outubro 2014 / Published in Cisco, Security

A Cisco divulgou ontem (08/10/14) uma lista de vulnerabilidades que afetam as versões 7.2, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 9.0, 9.1, 9.2 e 9.3 de software do ASA. Parte destas vulnerabilidades estão relacionadas a funcionalidades que são habilitadas por padrão, e outras estão relacionadas a VPN. Ou seja, a lista impactada em quase todos os ASAs em uso.

Equipamentos afetados:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)

Lista de vulnerabilidades:

  • Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Denial of Service Vulnerability
  • Cisco ASA IKEv2 Denial of Service Vulnerability
  • Cisco ASA Health and Performance Monitor Denial of Service Vulnerability
  • Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability
  • Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
  • Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Failover Command Injection Vulnerability
  • Cisco ASA VNMC Command Input Validation Vulnerability
  • Cisco ASA Local Path Inclusion Vulnerability
  • Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability
  • Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability
  • Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Explorar as vulnerabilidades SQL*NET Inspection Engine Denial of Service Vulnerability, Cisco ASA VPN Denial of Service Vulnerability, Cisco ASA IKEv2 Denial of Service Vulnerability, Cisco ASA Health and Performance Monitor Denial of Service Vulnerability, Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability, Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability, and Cisco ASA DNS Inspection Engine Denial of Service Vulnerability pode fazer o dispositivo reiniciar.

Cisco ASA

Já as vulnerabilidades Cisco ASA VPN Failover Command Injection Vulnerability, Cisco ASA VNMC Command Input Validation Vulnerability, and Cisco ASA Local Path Inclusion Vulnerability podem resultar no total comprometimento do sistema.

A exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability pode permitir o vazamento de informações internas e causar o reload do equipamento, enquanto a exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability pode levar a alguns tipos de ataque, como cross-site scripting (XSS), roubo de credenciais, e redirecionamento dos usuários para páginas maliciosas, entre outras.

Por fim, explorar com sucesso a vulnerabilidade Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability, permite ao atacante ter acesso a rede interna e acesso administrativo ao equipamento.

Abaixo temos a tabela das versões de software afetadas e a primeira release que contém a correção, para cada versão.

Software Versions and Fixes

Os administradores devem atualizar para um versão igual ou superior à listada na tabela, sendo que na última coluna temos a versão 9.3(1.1), que será lançada dia 20 de outubro e corrigirá todas as vulnerabilidades.

Por exemplo, se seu equipamento está na versão  8.4(3) ele está vulnerável, como podemos ver na coluna “8.4”. Você pode fazer o upgrade para a versão 8.4.(7.23) e corrigir todos os problemas. Ou ainda ir para uma versão mais nova que também corrija o problema (9.0(4.24), 9.1(5.12) ou 9.3(1.1)). A versão de software com a correção destas vulnerabilidades é liberada pela Cisco gratuitamente.

Outra opção, para alguns destes itens, seria desabilitar a funcionalidade, mas acredito que na maioria dos casos isso é inviável.

 

Verificando quais vulnerabilidades afetam seu equipamento

Para saber quais destas vulnerabilidades afetam seu equipamento basta usar os comandos abaixo. Caso haja retorno (algum output do comando) seu equipamento está vulnerável.

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include sqlnet

Inspect: sqlnet, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA VPN Denial of Service Vulnerability

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA IKEv2 Denial of Service Vulnerability

ciscoasa# show running-config crypto ikev2 | include enable

crypto ikev2 enable outside (AFETADO)

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

ciscoasa# show running-config | include hpm

hpm topn enable (AFETADO)

Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include gtp

Inspect: gtp, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include sunrpc

Inspect: sunrpc, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include dns

Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0 (AFETADO)

Cisco ASA VPN Failover Command Injection Vulnerability

ciscoasa# show running-config webvpn | include anyconnect enable

anyconnect enable

Ou

ciscoasa# show run crypto map | include interface

crypto map outside_map interface outside

E

ciscoasa# show failover

Failover On […](AFETADO)

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

ciscoasa# show running-config webvpn

webvpn  enable outside […]

E

ciscoasa# show running-config http

http server enable 444 (AFETADO)

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA

crypto ca trustpoint _SmartCallHome_ServerCA  crl configure (AFETADO)

Note que as vulnerabilidades Cisco ASA VNMC Command Input Validation Vulnerability e Cisco ASA Local Path Inclusion Vulnerability afetam todos os equipamentos com as referidas versões de software.

Todas as informações sobre estas vulnerabilidades, instruções para obter a versão que corrige o problema e mais informações neste link.

Até a próxima.

Relacionado

Tagged under: ASA, ASA5500, ASA5500-X, DNS, Failover, SQL, SSL, VPN, Vulnerabilidade

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

Entendendo os LEDs dos switches 2960
Unicast Reverse Path Forwarding (URPF) em roteadores Cisco
Configurando Concentrador PPPoE (Cisco)

POSTS RECENTES

  • Cisco Cybersecurity Giveaway
    Cisco Cybersecurity Giveaway
    23/05/2022
  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022
  • Cisco Secure Email Domain Assignments (LDAP Profiles)
    Cisco Secure Email Domain Assignments (LDAP Profiles)
    06/05/2022
  • Consulta LDAPS no Cisco Secure Email (ESA/CES)
    Consulta LDAPS no Cisco Secure Email (ESA/CES)
    28/04/2022
  • Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    04/04/2022

Tags

CiscoChampion CCIE WLAN Controller DHCP Firewall Segurança CCNA Switches FirePower ASA QoS FMC Backup Cisco certificação WIFI Wireless licença Upgrade IOS senha VPN EEM VoIP WLC Access-list VMware Vulnerabilidade Brainwork IPS policy-map LAB PIX Catalyst Roteador FTD Configuração SDWAN Sorteio aniversário Meraki ACL IPv6 ISE switch

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco Cybersecurity Giveaway brainwork.com.br/2022/05/23/c… #CiscoChampion #Exame #Giveaway

Blog: Participação no RotaDefaultVideos brainwork.com.br/2022/05/18/p… #blog #Brainwork #Carreira

Blog: Cisco Secure Email Domain Assignments (LDAP Profiles) brainwork.com.br/2022/05/06/c… #CES #CiscoChampion #ESA

Blog: Consulta LDAPS no Cisco Secure Email (ESA/CES) brainwork.com.br/2022/04/28/c… #CES #CiscoChampion #Email

Esse é o nível de pânico que um ataque ransomware causa. pic.twitter.com/4Kp67yyaei

Seguir @brainworkblog
  1. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
  2. Zerar switch para LAN Automation – Brainwork em DNAC LAN Automation – Novo switch na Fabric SDA
  3. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. Acacio em Reset Cisco FTD (zerar FTD sem reinstalar)
  5. André Ortega em Pergunte ao Especialista–Cisco FMC
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco Cybersecurity Giveaway brainwork.com.br/2022/05/23/cis… #CiscoChampion #Exame #Giveaway
    about 6 horas ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP