Vulnerabilità nel modulo di rilevamento malware di Cisco Firepower

 

Proto: N050316. 

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa pubblica una importante problematica di sicurezza all’interno di Cisco Firepower System Software che può permettere ad un attaccante remoto di bypassare i meccanismi di rilevamento e blocco dei malware. Sfruttando questa vulnerabilità un attaccante è quindi in grado di attraversare senza controlli il perimetro di sicurezza della rete e avere la possibilità di scaricare file malevoli, propagarli nella rete aziendale, accedere alle macchine e alle cartelle condivise senza essere identificato e bloccato.
 
Cisco Firepower System Software si trova installato sui seguenti dispositivi Cisco:

  • Adaptive Security Appliance (ASA) 5500-X Series with FirePOWER Services
  • Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
  • Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
  • FirePOWER 7000 Series Appliances
  • FirePOWER 8000 Series Appliances
  • FirePOWER Threat Defense for Integrated Services Routers (ISRs)
  • Next Generation Intrusion Prevention System (NGIPS) for Blue Coat X-Series
  • Sourcefire 3D System Appliances
  • Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware

La vulnerabilità colpisce solo le installazioni di Cisco Firepower System Software in cui è configurata almeno una Access Policy, per verificare se i propri dispositivi sono vulnerabili è possibile utilizzare la seguente procedura:

  1. Accedere alla Dashboard di controllo di Firepower
  2. Accedere a Policies > Access Control > Malware and File per visualizzare la lista delle policy configurate sul sistema
  3. Cliccare l’icona del Report accanto ad una policy per visualizzare i dettagli della configurazione salvata
  4. Il dispositivo è vulnerabile se all’interno della policy è presente una delle seguenti regole:
    • Block Files
    • Block Malware
    • Detect Files

La stessa vulnerabilità colpisce anche le installazioni del software Snort compilate utilizzando il flag –enable-file-inspect.

Per risolvere la problematica è necessario aggiornare il software installato sui vostri dispositivi utilizzando le seguenti versioni dei software:

 Snort

  • 2.9.8.2 e successive

 Cisco Firepower System Software

  • 5.4.0.7 e successive
  • 5.4.1.6 e successive
  • 6.0.1 e successive

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index