Исследователи компании Exodus Intelligence Дэвид Барксдейл, Джордан Грусковняк и Алекc Уилер обнаружили критическую уязвимость в межсетевых экранах Cisco ASA. Ошибка безопасности позволяет удаленному неавторизованному пользователю осуществлять выполнение произвольного кода или перезагружать устройство.
По системе CVSS уязвимости CVE-2016-1287 была присвоена наивысшая 10 оценка, которую получают лишь крайне опасные ошибки безопасности. Для успешной эксплуатации уязвимости необходимо отправить на целевую систему специально сформированные UDP-пакеты.
Уязвимость содержится в модулях IKE (Internet Key Exchange) v1 и v2 программного обеспечения межсетевых экранов. Ошибка приводит к тому, что последовательность специально сформированных UDP-пакет вызывает переполнение буфера, что приводит к возможности удаленного исполнения кода (RCE). Таким образом, уязвимость может быть эксплуатирована на системах, настроенных на прием VPN-подключений по IKEv1 или IKEv2. Устройства, настроенные на работу с соединениями Clientless SSL и AnyConnect SSL VPN-подключений, данной ошибке не подвержены,
На сайте Cisco опубликован бюллетень безопасности, в котором перечислены уязвимые устройства:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
Как утверждается в сообщении Cisco, на данный момент нет информации о том, что злоумышленникам удалось провести атаку с использованием обнаруженной уязвимости.
Тем не менее, технический директор SANS ISC Йоханнес Ульрих в опубликованном на сайте организации заявлении отметил сильно возросший трафик на UDP-порты 500 и 400 — специалист предполагает, что именно таким образом будет распространяться эксплоит.
