Pod koniec stycznia zespół Cisco PSIRT poinformował o odkryciu podatności w oprogramowaniu Cisco ASA w notce opublikowanej na stronach Cisco PSIRT.
Odkryta luka ma krytyczne znaczenie dla bezpieczeństwa sieci chronionych za pomocą naszych urządzeń ASA i jako taka, uzyskała maksymalny wynik CVSS – 10.0. Natychmiast opublikowaliśmy tą informację publicznie wraz ze wskazaniem wersji oprogramowania wolnych od tej luki oraz rekomendacją, aby wykonać uaktualnienie oprogramowania natychmiast jak będzie to tylko możliwe.
Na czym polega problem?
Oprogramowanie Cisco ASA w podatnych wersjach posiada błąd w przetwarzaniu komunikatów XML. Błąd ten pozwalający nieuwierzytelnionemu użytkownikowi, który jest w stanie wygenerować ruch trafiający do ASA spowodować jej restart lub wykonać swój kod. Możliwe jest również uniemożliwienie nawiązywania nowych sesji VPN do urządzenia. Aby było to możliwe, ASA powinna być skonfigurowana do obsługi przychodzących połączeń SSL (HTTPS) lub połączeń VPN.
Więcej o problemie można również słuchając podcastu zespołu Cisco TALOS.
Jak sobie poradzić?
Oprogramowanie na urządzeniach dotkniętych błędem (w ogolności platformy Cisco ASA, w tym ISA 3000 przygotowana do pracy w środowiskach przemysłowych, platformy Cisco FirePower oraz zwirtualizowane wersje Cisco ASA – ASAv i ASA 1000v) należy natychmiast uaktualnić do wskazanych w notce PSIRT wersji wolnych od błędu. Nie ma możliwości obejścia problemu poza całkowitym wyłączeniem podatnych usług jeśli wykonanie uaktualnienia jest niemożliwe.
Zespół Cisco PSIRT prowadzi stały nadzór nad platformami od momentu rozpoczęcia ich sprzedaży po ostatni dzień trwania wsparcia (LDoS, Last Day of Support). Ci z Państwa, którzy posiadają aktywny kontrakt serwisowy mogą pobrać wolne od luki oprogramowanie posługując się portalem cisco.com lub oprogramowaniem specjalizowanym do tego celu (np. Cisco Prime). Natomiast w każdym przypadku, gdy problem dotyczy kwestii bezpieczeństwa, Cisco udostępnia wolne od luk oprogramowanie dla wszystkich z Państwa – nawet jeśli nie posiadacie obecnie aktywnego kontraktu serwisowego. W tym celu nalezy otworzyć sprawę w Cisco TAC (online lub telefonicznie) posługując się numerem notki PSIRT oraz podać posiadane numer seryjne swojego sprzętu i/lub oprogramowania.
W przyszłości, aby otrzymywać tego typu informacje na swoją skrzynkę pocztową w momencie ich publikacji, zachęcamy do zapisania się do biuletynów bezpieczeństwa.