Cisco
ha confirmado una
vulnerabilidad en las características de detección y bloqueo de archivos
maliciosos de los sistemas Firepower que podría
permitir a un atacante remoto evitar las funciones de detección de malware de
los sistemas afectados.
- FirePOWER 7000 Series Appliances
- FirePOWER 8000 Series Appliances
- Adaptive Security Appliance (ASA) 5500-X Series con FirePOWER Services
- Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
- Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
- FirePOWER Threat Defense para Integrated Services Routers (ISRs)
- Next Generation Intrusion Prevention System (NGIPS) para Blue Coat X-Series
- Sourcefire 3D System Appliances
- Virtual Next-Generation Intrusion Prevention System (NGIPSv) para VMware
Esta vulnerabilidad también afecta al proyecto Open Source
Snort si el código fuente se compila con la opción de configuración --enable-file-inspect.
El fallo reside en una validación
inadecuada de los campos de las cabeceras http. Un atacante podría aprovechar
la vulnerabilidad mediante el envío de una petición http manipulada a un
sistema afectado. Lo que podría permitir al atacante evitar la detección de
archivos maliciosos o bloquear las políticas configuradas en el sistema. De
esta forma el malware podría pasar por el sistema sin ser detectado.
Cisco ha publicado las versiones 5.4.0.7, 5.4.1.6 y 6.0.1 de Cisco
Firepower System Software: Los usuarios pueden instalar la versión apropiada
mediante las características de actualización de software de Cisco Firepower
Management Center.
También se ha solucionado en Snort versión 2.9.8.2 disponible desde
Más información:
Cisco
Firepower Malware Block Bypass Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario