Ya
hemos comentado
la publicación de un grupo de exploits empleado por Equation Group como una muestra
de algo que se supone mucho más grande. Pero esa simple muestra incluía un
exploit 0day que permitía la ejecución de código en dispositivos Cisco y que
ha obligado a la compañía a actuar con carácter de urgencia.
Realmente entre el material
filtrado se incluía código que explotaba dos vulnerabilidades en dispositivos
Cisco ASA y firewalls Cisco PIX. Si bien una de ellas ya había sido corregida
en 2011, aunque la compañía de San Francisco ha publicado un nuevo aviso para
incrementar su visibilidad y asegurar que todos los usuarios con versiones de
software afectadas puedan protegerse contra este grupo de exploits.
La nueva
vulnerabilidad anunciada, considerada 0day, reside en un desbordamiento de
búfer en el código del protocolo SNMP (Simple Network Management Protocol) del
software Cisco Adaptive Security Appliance (ASA) que podría permitir a
atacantes remotos sin autenticar ejecutar código arbitrario en el sistema. Se
le ha asignado el CVE-2016-6366.
Afecta a los siguientes
productos:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 4100 Series
- Cisco Firepower 9300 ASA Security Module
- Cisco Firepower Threat Defense Software
- Cisco Firewall Services Module (FWSM)*
- Cisco Industrial Security Appliance 3000
- Cisco PIX Firewalls
 |
| Funcionamiento del exploit http://blogs.cisco.com/security/shadow-brokers |
Se ven afectadas
todas las versiones de SNMP. El atacante deberá conocer el nombre de comunidad
SNMP para explotar la vulnerabilidad.
En la actualidad Cisco confirma
que está trabajando en actualizaciones para las versiones afectadas. Se
recomienda a los administradores que solo usuarios de confianza tengan acceso a
SNMP y monitorizar los sistemas afectados mediante el comando "snmp-server".
Se debe seguir el capítulo SNMP
de la Guía de configuración de Cisco ASA para configurar adecuadamente este
protocolo en los dispositivos:
Los nombres de comunidad SNMP son
como contraseñas, y deben recibir el mismo tratamiento que cualquier otra
contraseña.
Por otra parte, una segunda
vulnerabilidad que aunque ya fue corregida en 2011, por su gravedad y
repercusión ha merecido su tratamiento como si fuera nueva. El problema, con CVE-2016-6367,
reside en una vulnerabilidad en la interfaz de línea de comandos del software Cisco
Adaptive Security Appliance (ASA) que a través de determinados comandos no
válidos podría permitir a atacantes locales autenticados ejecutar código
arbitrario en los sistemas afectados.
Se ven afectadas las versiones de software Cisco
Adaptive Security Appliance (ASA) anteriores a la 8.4(3) en los siguientes
productos:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco PIX Firewalls
- Cisco Firewall Services Module (FWSM)
Más información:
una-al-dia (19/08/2016) A la
venta el arsenal del Equation Group
The Shadow Brokers EPICBANANAS and EXTRABACON
Exploits
Cisco Adaptive Security Appliance SNMP Remote
Code Execution Vulnerability
Cisco Adaptive Security Appliance CLI Remote
Code Execution Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario