Уязвимость веб-сервера VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с правами root путем отправки специально сформированных HTTP-запросов
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование команды CLI show running-config для проверки конфигурации устройства на предмет наличия следующих признаков:
для Cisco Secure Firewall ASA:
crypto ikev2 enable <interface name> client-services port <port_numbers>;
webvpn
mus password
mus server enable <port_number>
mus <IPv4_address> <IPv4_mask> <interface_name>;
webvpn
enable <interface_name>;
для Cisco Secure Firewall FTD:
crypto ikev2 enable <interface_name> client-services port <port_number>;
webvpn
enable <interface_name>;
- ограничение доступа к уязвимому устройству, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к уязвимому устройству из внешних сетей (Интернет).
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
| Балл | 9 — критическая опасность |