Ampliar Fuerza Aérea de EE. UU.
El 29 de enero, Cisco lanzó una alerta de seguridad de alta urgencia para clientes que utilizan dispositivos y software de seguridad de red que admiten Conexiones de red privada virtual a redes corporativas. Cortafuegos, dispositivos de seguridad y otros dispositivos configurados con El software de VPN sin cliente de WebVPN es vulnerable a un sistema basado en web ataque de red que podría eludir la seguridad de los dispositivos, permitiendo un atacante para ejecutar comandos en los dispositivos y obtener el control total de ellos. Esto daría a los atacantes acceso sin restricciones a protegidas redes o hacer que el hardware se reinicie. La vulnerabilidad ha sido dado un sistema de puntuación de vulnerabilidad común de crítico, con un puntaje de 10, el más alto posible en la escala CVSS.
WebVPN permite que alguien fuera de una red corporativa se conecte a la intranet corporativa y otros recursos de red desde un sesión segura del navegador. Dado que no requiere software de cliente o certificado preexistente para acceder desde Internet, el WebVPN generalmente se puede acceder a la puerta de enlace desde cualquier lugar de Internet, y Como resultado, puede ser atacado mediante programación. Un portavoz para el equipo de seguridad de Cisco dijo en la alerta que Cisco no es consciente de cualquier explotación activa de la vulnerabilidad en este momento. Pero La naturaleza de la vulnerabilidad ya se conoce públicamente, por lo que Es casi seguro que las hazañas emerjan rápidamente.
La vulnerabilidad, descubierta por Cedric Halbronn del NCC Group, hace posible que un atacante use múltiples, especialmente mensajes XML formateados enviados a la interfaz WebVPN de un dispositivo dirigido en un intento de memoria “doblemente libre” en el sistema. Ejecutar un comando para liberar una dirección de memoria específica más que una vez puede causar una pérdida de memoria que permite que un atacante escriba comandos u otros datos en bloques de la memoria del sistema. Haciendo entonces, el atacante podría hacer que el sistema se ejecute comandos o podría corromper la memoria del sistema y causar un choque.
Los sistemas afectados son dispositivos que ejecutan el software ASA de Cisco con WebVPN habilitado. Éstos incluyen:
- Dispositivo de seguridad industrial de la serie 3000 (ISA)
- Dispositivos de seguridad adaptativos de la serie ASA 5500
- Cortafuegos de la próxima generación de la serie ASA 5500-X
- Módulo de servicios ASA para switches Cisco Catalyst 6500 Series y Routers Cisco de la serie 7600
- Cortafuegos en la nube ASA 1000V
- Dispositivo virtual de seguridad adaptable (ASAv)
- Dispositivo de seguridad Firepower serie 2100
- Dispositivo de seguridad Firepower 4110
- Módulo de seguridad Firepower 9300 ASA
- Software de defensa contra amenazas de potencia de fuego (FTD)
Cisco ha emitido un parche para la vulnerabilidad. Pero para obtener el parche, los clientes sin contratos de mantenimiento actuales deberán comuníquese con el Centro de asistencia técnica (TAC) de Cisco para obtener el parche. Algunos profesionales de seguridad Ars se comunicaron con frustración con la lenta respuesta que obtuvieron del TAC de Cisco.
Actualización [3:00 PM EST] Un portavoz de Cisco proporcionó la siguiente declaración: “Cisco se compromete a divulgación coordinada responsable sobre vulnerabilidades, y mantiene una relación muy abierta con la investigación de seguridad comunidad. Tan pronto como Cisco se enteró de que había un público potencial consciente del problema, publicamos de inmediato una seguridad Asesoramiento para informar a los clientes de qué se trata y cómo evaluar su red y remediar el problema. Un parche, que aborda esta vulnerabilidad específicamente, ha estado disponible desde el divulgar.”