Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (26.08.2016):
Cisco fügt seiner Sicherheitsmeldung ‘cisco-sa-20160817-asa-snmp’ für die
Schwachstelle CVE2016-6366 weitere gefixte Versionen der Cisco Adaptive
Security Appliance Software hinzu.
Version 3 (25.08.2016):
Cisco aktualisiert seine Sicherheitsmeldung ‘cisco-sa-20160817-asa-snmp’
für die Schwachstelle CVE2016-6366, in der nun die betroffenen Versionen
der Cisco Adaptive Security Appliance Software genannt werden, und stellt
entsprechende Sicherheitsupdates bereit.
Version 2 (19.08.2016):
Cisco aktualisiert seine Sicherheitsmeldung ‘cisco-sa-20160817-asa-cli’
für die Schwachstelle CVE2016-6367, in der nun explizit die betroffenen
Versionen genannt werden und überarbeitet die Angaben zu den
Sicherheitsupdates. Die Version 8.4(1) ist durch die Version 8.4(3)
ersetzt worden und für Versionen oberhalb des Versionsstamms 8.4 wird
zusätzlich die Version 9.0(1) zur Behebung der Schwachstelle
bereitgestellt. Außerdem aktualisiert Cisco die Sicherheitsmeldung
‘cisco-sa-20160817-asa-snmp’ für die Schwachstelle CVE-2016-6366 und fügt
die Produkte Cisco Firepower Threat Defense Software, Cisco Industrial
Security Appliance 3000 sowie Cisco Firepower 4100 Series den betroffenen
Produkten hinzu. Cisco informiert zudem darüber, dass die von den beiden
Schwachstellen betroffenen Produkte Cisco Firewall Service Modules und
Cisco PIX Firewalls den Status ‘End-of-Life’ (EoL) erreicht haben und für
diese Produkte keine Sicherheitsupdates veröffentlicht werden (siehe
Referenzen anbei).
Version 1 (18.08.2016):
Neues Advisory
Betroffene Software:
Cisco Adaptive Security Appliance Software < 8.4(3) Cisco Adaptive Security Appliance Software < 9.0(1) Cisco Adaptive Security Appliance Software < 9.0.4(40) Cisco Adaptive Security Appliance Software < 9.1.7(9) Cisco Adaptive Security Appliance Software < 9.2.4(14) Cisco Adaptive Security Appliance Software < 9.3.3(10) Cisco Adaptive Security Appliance Software < 9.4.3(8) Cisco Adaptive Security Appliance Software < 9.5(3) Cisco Adaptive Security Appliance Software < 9.6.1(11) Cisco Adaptive Security Appliance Software < 9.6.2 Betroffene Plattformen: Cisco Firepower Threat Defense Software Cisco 7600 Router Cisco Adaptive Security Virtual Appliance (ASAv) Cisco ASA 1000V Cloud Firewall Cisco ASA 5500 Cisco ASA 5500-X Cisco Catalyst 6500 Cisco Industrial Security Appliance 3000 Cisco Firepower 4100 Series Cisco Firepower 9300 ASA Security Module Cisco Firewall Services Module Cisco PIX Firewall Zwei Schwachstellen in der Cisco Adaptive Security Appliance (ASA) Software ermöglichen einem entfernten bzw. lokalen, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes, wodurch der Angreifer ein System vollständig unter seine Kontrolle bringen kann, sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Cisco bestätigt die Schwachstellen und stellt zur Behebung der Schwachstelle CVE-2016-6367, von der nur Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco PIX Firewalls und Cisco Firewall Services Module (FWSM) betroffen sind, die Cisco Adaptive Security Appliance Software in der Version 8.4(1) als Sicherheitsupdate bereit. Für die Schwachstelle CVE-2016-6366, von der zusätzlich Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches und Cisco 7600 Series Routers, Cisco ASA 1000V Cloud Firewall, Cisco Adaptive Security Virtual Appliance (ASAv) und Cisco Firepower 9300 ASA Security Module betroffen sind, stehen derzeit keine Sicherheitsupdates zur Verfügung. Administratoren wird ein Workaround empfohlen. Die Ausnutzbarkeit beider Schwachstellen wird von Cisco aufgrund der Veröffentlichung von Exploits durch die 'Shadow Broker Group' als 'hoch' eingestuft, siehe auch Referenzen: Cisco Event Response: Cisco ASA SNMP and CLI Remote Code Execution Vulnerabilities (ERP-56516), Cisco Security Blog: The Shadow Brokers EPICBANANAS and EXTRABACON Exploits. Workaround: Zur Umgehung der Schwachstelle CVE-2016-6366 wird als Workaround empfohlen nur vertrauenswürdigen Benutzern einen SNMP-Zugang und das Überwachen betroffener Systeme zu gewähren. Patch: Cisco Security Advisory cisco-sa-20160817-asa-cli http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
Patch:
Cisco Security Advisory cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
CVE-2016-6367: Schwachstelle in Cisco Adaptive Security Appliance Software
ermöglicht Ausführen beliebigen Programmcodes
Es existiert eine Schwachstelle in der Verarbeitungsfunktion für
Kommandozeileneingaben (CLI-Parser) in der Cisco Adaptive Security Appliance
(ASA) Software, die ein Angreifer durch Aufrufen bestimmter ungültiger
Befehle auf einem betroffenen Gerät ausnutzen kann. Ein lokaler, einfach
authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff
durchführen oder möglicherweise beliebigen Programmcode zur Ausführung
bringen.
CVE-2016-6366: Schwachstelle in Cisco Adaptive Security Appliance Software
ermöglicht Ausführen beliebiegen Programmcodes
Es existiert eine Schwachstelle in der Implementierung des Simple Network
Management Protocol (SNMP) in der Cisco Adaptive Security Appliance (ASA)
Software. Ein Angreifer kann durch Versenden speziell präparierter
SNMP-Datenpakete diese Schwachstelle ausnutzen und einen
Pufferspeicherüberlauf (Buffer Overflow) verursachen, wodurch beliebiger
Programmcode zur Ausführung gebracht werden kann, der es dem Angreifer
ermöglicht die vollständige Kontrolle über ein System zu erlangen.
Voraussetzung für die erfolgreiche Ausnutzung der Schwachstelle ist, dass
der Angreifer den SNMP-Community-Bezeichner kennt, die SNMP-Datenpakete via
IPv4-Datenverkehr direkt an ein betroffenes Gerät gesendet werden und dieses
in einem der Betriebsmodi ‘routed and transparent firewall mode only’,
‘single context mode’ oder ‘multiple context mode’ konfiguriert wurde. Ein
entfernter, einfach authentisierter Angreifer kann beliebigen Programmcode
ausführen und dadurch die vollständige Kontrolle über ein System erlangen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1347/
Cisco Security Advisory cisco-sa-20160817-asa-cli:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
Cisco Security Advisory cisco-sa-20160817-asa-snmp:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
Cisco Event Response: Cisco ASA SNMP and CLI Remote Code Execution
Vulnerabilities:
http://tools.cisco.com/security/center/viewErp.x?alertId=ERP-56516
Cisco Security Blog: The Shadow Brokers EPICBANANAS and EXTRABACON Exploits:
http://blogs.cisco.com/security/shadow-brokers
Schwachstelle CVE-2016-6366 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6366
Schwachstelle CVE-2016-6367 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6367
End-of-Life and End-of-Sale Notices Cisco PIX Firewalls:
http://www.cisco.com/c/en/us/products/security/pix-500-series-security-appliances/eos-eol-notice-listing.html
End-of-Sale and End-of-Life Announcement for the Cisco Catalyst 6500 and 7600
Series Firewall Services Modules:
http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/catalyst-6500-series-firewall-services-module/eol_c51-699134.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
