SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
Siga Nossas Redes Sociais
  • HOME
  • CONTATO
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Cisco divulga lista de vulnerabilidades no software do ASA
20/05/2022

Cisco divulga lista de vulnerabilidades no software do ASA

Cisco divulga lista de vulnerabilidades no software do ASA

by André Ortega / quinta-feira, 09 outubro 2014 / Published in Cisco, Security

A Cisco divulgou ontem (08/10/14) uma lista de vulnerabilidades que afetam as versões 7.2, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 9.0, 9.1, 9.2 e 9.3 de software do ASA. Parte destas vulnerabilidades estão relacionadas a funcionalidades que são habilitadas por padrão, e outras estão relacionadas a VPN. Ou seja, a lista impactada em quase todos os ASAs em uso.

Equipamentos afetados:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)

Lista de vulnerabilidades:

  • Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Denial of Service Vulnerability
  • Cisco ASA IKEv2 Denial of Service Vulnerability
  • Cisco ASA Health and Performance Monitor Denial of Service Vulnerability
  • Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability
  • Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
  • Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Failover Command Injection Vulnerability
  • Cisco ASA VNMC Command Input Validation Vulnerability
  • Cisco ASA Local Path Inclusion Vulnerability
  • Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability
  • Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability
  • Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Explorar as vulnerabilidades SQL*NET Inspection Engine Denial of Service Vulnerability, Cisco ASA VPN Denial of Service Vulnerability, Cisco ASA IKEv2 Denial of Service Vulnerability, Cisco ASA Health and Performance Monitor Denial of Service Vulnerability, Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability, Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability, and Cisco ASA DNS Inspection Engine Denial of Service Vulnerability pode fazer o dispositivo reiniciar.

Cisco ASA

Já as vulnerabilidades Cisco ASA VPN Failover Command Injection Vulnerability, Cisco ASA VNMC Command Input Validation Vulnerability, and Cisco ASA Local Path Inclusion Vulnerability podem resultar no total comprometimento do sistema.

A exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability pode permitir o vazamento de informações internas e causar o reload do equipamento, enquanto a exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability pode levar a alguns tipos de ataque, como cross-site scripting (XSS), roubo de credenciais, e redirecionamento dos usuários para páginas maliciosas, entre outras.

Por fim, explorar com sucesso a vulnerabilidade Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability, permite ao atacante ter acesso a rede interna e acesso administrativo ao equipamento.

Abaixo temos a tabela das versões de software afetadas e a primeira release que contém a correção, para cada versão.

Software Versions and Fixes

Os administradores devem atualizar para um versão igual ou superior à listada na tabela, sendo que na última coluna temos a versão 9.3(1.1), que será lançada dia 20 de outubro e corrigirá todas as vulnerabilidades.

Por exemplo, se seu equipamento está na versão  8.4(3) ele está vulnerável, como podemos ver na coluna “8.4”. Você pode fazer o upgrade para a versão 8.4.(7.23) e corrigir todos os problemas. Ou ainda ir para uma versão mais nova que também corrija o problema (9.0(4.24), 9.1(5.12) ou 9.3(1.1)). A versão de software com a correção destas vulnerabilidades é liberada pela Cisco gratuitamente.

Outra opção, para alguns destes itens, seria desabilitar a funcionalidade, mas acredito que na maioria dos casos isso é inviável.

 

Verificando quais vulnerabilidades afetam seu equipamento

Para saber quais destas vulnerabilidades afetam seu equipamento basta usar os comandos abaixo. Caso haja retorno (algum output do comando) seu equipamento está vulnerável.

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include sqlnet

Inspect: sqlnet, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA VPN Denial of Service Vulnerability

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA IKEv2 Denial of Service Vulnerability

ciscoasa# show running-config crypto ikev2 | include enable

crypto ikev2 enable outside (AFETADO)

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside (AFETADO)

Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

ciscoasa# show running-config | include hpm

hpm topn enable (AFETADO)

Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

ciscoasa# show service-policy | include gtp

Inspect: gtp, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include sunrpc

Inspect: sunrpc, packet 0, drop 0, reset-drop 0 (AFETADO)

Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
ciscoasa# show service-policy | include dns

Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0 (AFETADO)

Cisco ASA VPN Failover Command Injection Vulnerability

ciscoasa# show running-config webvpn | include anyconnect enable

anyconnect enable

Ou

ciscoasa# show run crypto map | include interface

crypto map outside_map interface outside

E

ciscoasa# show failover

Failover On […](AFETADO)

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

ciscoasa# show running-config webvpn

webvpn  enable outside […]

E

ciscoasa# show running-config http

http server enable 444 (AFETADO)

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA

crypto ca trustpoint _SmartCallHome_ServerCA  crl configure (AFETADO)

Note que as vulnerabilidades Cisco ASA VNMC Command Input Validation Vulnerability e Cisco ASA Local Path Inclusion Vulnerability afetam todos os equipamentos com as referidas versões de software.

Todas as informações sobre estas vulnerabilidades, instruções para obter a versão que corrige o problema e mais informações neste link.

Até a próxima.

Relacionado

  • Tweet
Tagged under: ASA, ASA5500, ASA5500-X, DNS, Failover, SQL, SSL, VPN, Vulnerabilidade

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Quinze anos de experiência na área.

What you can read next

Comandos para o Cisco IOS File System
DHCP Snooping: Protegendo sua rede contra servidores DHCP falsos
Upgrade Prime Infrasctructure 3.0/3.1 para 3.2

POSTS RECENTES

  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022
  • Cisco Secure Email Domain Assignments (LDAP Profiles)
    Cisco Secure Email Domain Assignments (LDAP Profiles)
    06/05/2022
  • Consulta LDAPS no Cisco Secure Email (ESA/CES)
    Consulta LDAPS no Cisco Secure Email (ESA/CES)
    28/04/2022
  • Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    04/04/2022
  • Inscrição para Cisco Champion 2022
    Inscrição para Cisco Champion 2022
    28/01/2022

Tags

switch ASA Segurança Roteador FMC IOS ISE IPS QoS Meraki Firewall EEM CCIE aniversário Switches DHCP Upgrade licença VMware FTD Catalyst certificação Wireless IPv6 SDWAN PIX WLC CCNA Backup FirePower Cisco Vulnerabilidade WLAN Controller VPN Acesso WIFI policy-map ACL senha LAB CiscoChampion VoIP Brainwork Configuração Access-list

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Participação no RotaDefaultVideos brainwork.com.br/2022/05/18/p… #blog #Brainwork #Carreira

Blog: Cisco Secure Email Domain Assignments (LDAP Profiles) brainwork.com.br/2022/05/06/c… #CES #CiscoChampion #ESA

Blog: Consulta LDAPS no Cisco Secure Email (ESA/CES) brainwork.com.br/2022/04/28/c… #CES #CiscoChampion #Email

Esse é o nível de pânico que um ataque ransomware causa. pic.twitter.com/4Kp67yyaei

Não é fácil hahahaha pic.twitter.com/H6TKyPaL2g

Seguir @brainworkblog
  1. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
  2. Zerar switch para LAN Automation – Brainwork em DNAC LAN Automation – Novo switch na Fabric SDA
  3. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. Acacio em Reset Cisco FTD (zerar FTD sem reinstalar)
  5. André Ortega em Pergunte ao Especialista–Cisco FMC
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Participação no RotaDefaultVideos brainwork.com.br/2022/05/18/par… #blog #Brainwork #Carreira
    about 2 dias ago
    Reply Retweet Favorite
  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP