USD 66.42 ЕВРО 75.22

Критическая уязвимость в оборудовании Cisco позволяет удаленный взлом

Экономика

Брандмауэры под управлением программного обеспечения Cisco Adaptive Security Appliance (ASA) можно взломать с помощью специальных UDP-пакетов

Cisco Systems исправила критическую уязвимость, которая делает возможным получение контроля над файерволами Cisco Adaptive Security Appliance (ASA), настроенных в качестве VPN-серверов сети, отправляя на них определенные пакеты.

Для устройств, которые предназначены для защиты частных сетей от атак из Интернета, это недопустимая уязвимость. Вот почему Cisco оценила данную уязвимость максимальным рейтингом 10 по шкале Vulnerability Scoring System.

Уязвимость находится в коде Cisco ASA, который работает с протоколами Internet Key Exchange версии 1 (IKEv1) и IKE версии 2 (IKEv2). Точнее, это происходит из-за переполнения буфера в функции, которая обрабатывает фрагментированные нагрузки IKE.

«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные пакеты UDP на уязвимую систему», написала компания Cisco. «Эксплойт может позволить злоумышленнику выполнить произвольный код и получить полный контроль над системой или вызвать перезагрузку уязвимой системы».

IKE используется в качестве ключевого механизма обмена в виртуальных частных сетях (VPN) на базе IPsec. Таким образом, устройства Cisco ASA уязвимы только в случаях, если они настроены в качестве конечных точек LAN-to-LAN IPsec VPN, удаленного VPN доступа с использованием клиента IPSec VPN, VPN соединений с использованием протокола Layer 2 Tunneling Protocol (L2TP) через IPsec и IKEv2 AnyConnect.

Продукты Cisco ASA часто сконфигурированы для VPN. Их сила в том, что они могут обеспечить IP-маршрутизацию, брандмауэр, сетевой антивирус, систему предотвращения вторжений и функциональность VPN в одном устройстве.

Согласно Cisco, уязвимы следующие продукты: устройства защиты Cisco ASA 5500 Series Adaptive Security Appliances, файерволы Cisco ASA 5500-X, модуль Cisco ASA Services Module для свитчей Cisco Catalyst 6500 и роутеров Cisco 7600, облачный файервол Cisco ASA 1000V Cloud Firewall, Cisco Adaptive Security Virtual Appliance (ASAv), модуль безопасности Cisco Firepower 9300 ASA Security Module и Cisco ISA 3000 Industrial Security Appliance.

Cisco опубликовала список исправленных версий программного обеспечения Cisco ASA для различных устройств. Пользователям рекомендуется обновиться как можно скорее.

Центр Internet Storm Center в Технологическом институте SANS сообщил о значительном увеличении количества интернет-зондов по портам UDP 500, являющихся наиболее вероятными портами для эксплуатации этой уязвимости.