ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability
Ktore konfiguracje ASA sa narazone na atak ?
Witam wszystkich !
Pierwszy raz umieszczam post na forum, ale od wielu lat sledze Wasze dyskusje.
Zastanawiam sie (i licze tutaj na pomoc bardziej doswiadczonych inzynierow sieciowych), ktore konfiguracja ASA sa zagrozone atakiem.
Wiekszosc angielskojezycznych stron powtarza informacje za Cisco, bez glebszej analizy.
Zakladajac, ze mamy ASA, na ktorej jest jeden lub wiecej VPN S2S (i ew sluzy tylko do dostepu do Internetu dla uzytkownikow wewnetrznych) - to czy zaakceptuje ona podmienione pakiety z dowolnego adresu ip ?
Marek
Pierwszy raz umieszczam post na forum, ale od wielu lat sledze Wasze dyskusje.
Zastanawiam sie (i licze tutaj na pomoc bardziej doswiadczonych inzynierow sieciowych), ktore konfiguracja ASA sa zagrozone atakiem.
Wiekszosc angielskojezycznych stron powtarza informacje za Cisco, bez glebszej analizy.
Zakladajac, ze mamy ASA, na ktorej jest jeden lub wiecej VPN S2S (i ew sluzy tylko do dostepu do Internetu dla uzytkownikow wewnetrznych) - to czy zaakceptuje ona podmienione pakiety z dowolnego adresu ip ?
Marek
Marek
Przecież problem jest jasno i wyraźnie opisany:
"A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system."
"A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system."
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Czytać umiem i rozumiem problem.Kyniu pisze:Przecież problem jest jasno i wyraźnie opisany:
"A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system."
Moje pytanie dotyczyło czegoś innego. Zastanawiałem się, czy ASA mając skonfigurowane powiedzmy 3 peer'y, będzie przyjmowała "podmienione" pakiety z adresu IP, który nie jest zdefiniowanym peer'em ?
Logika wskazywałaby, że pakiety przychodzące z innych addresów niż zdefiniowane peer'y - powinny być dropowane.
I tak już wczoraj zupdatowaliśmy większość urządzeń.
Marek
Marek
Zawsze, nieodmiennie, fascynuje mnie, jak słyszę jaki to problem wywołuje hasło "upgrade". To jest nieodłączny element pracy każdego admina i coś pewnego jak śmierć i podatki, w życiu każdego systemu informatycznego. Z góry powinny być na to przewidziane procedury, okna serwisowe i tak dalej.martino76 pisze: Z tym może być trochę problemow change management, maintenance windows etc
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Ja nie mowie, ze nie ma procedur itd, tylko jeśli masz multi tenant DC, gdzie masz kilkunastu klientów to na hasło upgrade management dostaje paranoiKyniu pisze:Zawsze, nieodmiennie, fascynuje mnie, jak słyszę jaki to problem wywołuje hasło "upgrade". To jest nieodłączny element pracy każdego admina i coś pewnego jak śmierć i podatki, w życiu każdego systemu informatycznego. Z góry powinny być na to przewidziane procedury, okna serwisowe i tak dalej.martino76 pisze: Z tym może być trochę problemow change management, maintenance windows etc
Pozdro,
To znaczy, że management jest niekompetentny i powinien się zająć hodowlą kóz albo wypasem świń. Możesz im to wydrukować i anonimowo podrzucić na biurko.martino76 pisze:na hasło upgrade management dostaje paranoi
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:jarek6 pisze:8.2 Affected; migrate to 9.1(7) or laterSeba pisze:Soft z fixem jest dostępny, więc do update marsz
Migracja z 8.2 to nie 5 minut...
Bedzie jakis interim patch release ?
"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."
Nie będzie.
Control plane ACL/policing powinien każdy stosować jeżeli adresy klientów VPN są znane/statyczne. Dotyczy to zarówno firewall jak i routerów.maroszka pisze:Co myślicie o tym obejściu ?
Jak musisz zezwolić dostęp ze wszystkich adresów to nie jest to rozwiązanie.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825