ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

Wiadomość

martino76 · #1

Wicej info na link

Pozdro,

marekwu · #2

Witam wszystkich !

Pierwszy raz umieszczam post na forum, ale od wielu lat sledze Wasze dyskusje.

Zastanawiam sie (i licze tutaj na pomoc bardziej doswiadczonych inzynierow sieciowych), ktore konfiguracja ASA sa zagrozone atakiem.
Wiekszosc angielskojezycznych stron powtarza informacje za Cisco, bez glebszej analizy.

Zakladajac, ze mamy ASA, na ktorej jest jeden lub wiecej VPN S2S (i ew sluzy tylko do dostepu do Internetu dla uzytkownikow wewnetrznych) - to czy zaakceptuje ona podmienione pakiety z dowolnego adresu ip ?

Marek

Kyniu · #3

Przecież problem jest jasno i wyraźnie opisany:

"A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.

The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system."

#4

Soft z fixem jest dostępny, więc do update marsz

martino76 · #5

Seba pisze:Soft z fixem jest dostępny, więc do update marsz

Z tym może być trochę problemow change management, maintenance windows etc

Pozdro,

marekwu · #6

Kyniu pisze:Przecież problem jest jasno i wyraźnie opisany:

"A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.

The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system."

Czytać umiem i rozumiem problem.

Moje pytanie dotyczyło czegoś innego. Zastanawiałem się, czy ASA mając skonfigurowane powiedzmy 3 peer'y, będzie przyjmowała "podmienione" pakiety z adresu IP, który nie jest zdefiniowanym peer'em ?

Logika wskazywałaby, że pakiety przychodzące z innych addresów niż zdefiniowane peer'y - powinny być dropowane.

I tak już wczoraj zupdatowaliśmy większość urządzeń.

Marek

Kyniu · #7

martino76 pisze: Z tym może być trochę problemow change management, maintenance windows etc

Zawsze, nieodmiennie, fascynuje mnie, jak słyszę jaki to problem wywołuje hasło "upgrade". To jest nieodłączny element pracy każdego admina i coś pewnego jak śmierć i podatki, w życiu każdego systemu informatycznego. Z góry powinny być na to przewidziane procedury, okna serwisowe i tak dalej.

martino76 · #8

Kyniu pisze:
martino76 pisze: Z tym może być trochę problemow change management, maintenance windows etc
Zawsze, nieodmiennie, fascynuje mnie, jak słyszę jaki to problem wywołuje hasło "upgrade". To jest nieodłączny element pracy każdego admina i coś pewnego jak śmierć i podatki, w życiu każdego systemu informatycznego. Z góry powinny być na to przewidziane procedury, okna serwisowe i tak dalej.

Ja nie mowie, ze nie ma procedur itd, tylko jeśli masz multi tenant DC, gdzie masz kilkunastu klientów to na hasło upgrade management dostaje paranoi

Pozdro,

maroszka · #9

Co myślicie o tym obejściu ?

Kyniu · #10

martino76 pisze:na hasło upgrade management dostaje paranoi

To znaczy, że management jest niekompetentny i powinien się zająć hodowlą kóz albo wypasem świń. Możesz im to wydrukować i anonimowo podrzucić na biurko.

jinx_20 · #11

Tak się zastanawiam czy FPM'em na routerach powyżej ASA (np. routerach z BGP) nie da się tego jakoś wyciąć?

michaliwanczuk · #12

Maroszka:

myślałem na tym rozwiązaniem - tylko jak masz małą ilość VPN'ów to jest spoko - ale nie wiem jak taka aclka zachowa się jak masz konteksty.

jarek6 · #13

Seba pisze:Soft z fixem jest dostępny, więc do update marsz

8.2 Affected; migrate to 9.1(7) or later

Migracja z 8.2 to nie 5 minut...
Bedzie jakis interim patch release ?

lbromirs · #14

jarek6 pisze:
Seba pisze:Soft z fixem jest dostępny, więc do update marsz
8.2 Affected; migrate to 9.1(7) or later

Migracja z 8.2 to nie 5 minut...
Bedzie jakis interim patch release ?

Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:

"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."

Nie będzie.

lukaszbw · #15

maroszka pisze:Co myślicie o tym obejściu ?

Control plane ACL/policing powinien każdy stosować jeżeli adresy klientów VPN są znane/statyczne. Dotyczy to zarówno firewall jak i routerów.

Jak musisz zezwolić dostęp ze wszystkich adresów to nie jest to rozwiązanie.

Pozdr.

CCIE.pl

ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

Ktore konfiguracje ASA sa narazone na atak ?