Importante Vulnerabilità su Appliance Cisco ASA

 

Proto: N060118.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una grave vulnerabilità all’interno di dispositivi Next-Generation Firewall della famiglia Cisco Adaptive Security Appliance (ASA). La criticità è nota con l’identificativo CVE-2018-0101.

La problematica affligge il modulo SSL VPN presente all’interno dei firmware Cisco ASA afflitti: a causa di lacune nella gestione della memoria, un attaccante di rete non autenticato capace di inviare appositi messaggi XML al dispositivo risulta in grado di eseguire codice arbitrario all’interno del sistema bersaglio, comportando tangibili rischi legati a disservizi ed accessi abusivi a componenti dell’infrastruttura di rete.

Il Produttore ha confermato la problematica attraverso il bollettino di sicurezza CISCO-SA-20180129-ASA1, nel quale risultano afflitte le funzionalità webvpn all’interno delle seguenti famiglie di prodotti:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

Il Produttore segnala inoltre le seguenti versioni firmware afflitte dalla problematica:

  • Cisco ASA Software (Major Version)
    • 8.x: afflitta, migrare a 9.1.7.20 o superiore
    • 9.0: afflitta, migrare a 9.1.7.20 o superiore
    • 9.1: versione sicura 9.1.7.20
    • 9.2: versione sicura 9.2.4.25
    • 9.3: afflitta, migrare a  9.4.4.14 o superiore
    • 9.4: versione sicura 9.4.4.14
    • 9.5: afflitta, migrare a 9.6.3.20 o superiore
    • 9.6: versione sicura 9.6.3.20
    • 9.7: versione sicura 9.7.1.16
    • 9.8: versione sicura 9.8.2.14
    • 9.9: versione sicura 9.9.1.2
  • Cisco FTD
    • Minore di 6.2.2: non afflitta
    • 6.2.21: disponibile hotfix per piattaforme FTD hardware eccetto 21xx “Cisco_FTD_Hotfix_AB-6.2.2.2-4.sh.REL.tar”, hotfix dedicato per piattaforma FTP 21xxx “Cisco_FTD_SSP_FP2K_Hotfix_AC-6.2.2.2-6.sh.REL.tar”

Considerate le eventuali implicazioni, la potenziale superficie esposta alla criticità e l’imminente pubblicazione di dettagli tecnici, Yoroi consiglia caldamente di verificare la presenza moduli webvpn attivi in appliance Cisco ASA vulnerabili all’interno delle Vostre infrastrutture al fine di pianificare l’applicazione delle patch di sicurezza rilasciate dal Produttore.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index