CVE-2016-6366

Суть уязвимости

Уязвимость — переполнение буфера в обработчике SNMP Cisco ASA. Атакующий может отправить специально сформированный SNMP-пакет на уязвимое устройство, что приведет к: * Перезагрузке устройства (Denial of Service). * Удаленному выполнению произвольного кода с привилегиями системы.

Как исправить

Обновите ПО Cisco ASA до версии, в которой уязвимость устранена. Выбор версии зависит от вашей текущей мажорной ветки.

1. Определите текущую версию ПО: bash show version | include Software

2. Обновитесь до одной из исправленных версий:

   • Для ветки 9.1 — обновитесь до 9.1(7.4) или новее.
   • Для ветки 9.2 — обновитесь до 9.2(4.4) или новее.
   • Для ветки 9.3 — обновитесь до 9.3(3.7) или новее.
   • Для ветки 9.4 — обновитесь до 9.4(2.4) или новее.
   • Для ветки 9.5 — обновитесь до 9.5(2.2) или новее.
   • Для ветки 9.6 — обновитесь до 9.6(1.2) или новее.

   Команда для обновления (пример): bash copy tftp://<TFTP_СЕРВЕР>/asa961-2-smp-k8.bin flash: configure terminal boot system flash:/asa961-2-smp-k8.bin write memory reload Замените имя файла на актуальное для вашей целевой версии.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

1. Ограничьте доступ к SNMP-сервису ASA:

   • Настройте ACL (Access Control List) для SNMP, разрешающий доступ только с доверенных хостов управления. bash access-list SNMP-ACL standard permit host <IP_ВАШЕГО_СЕРВЕРА_УПРАВЛЕНИЯ> snmp-server host <ИНТЕРФЕЙС> <IP_ВАШЕГО_СЕРВЕРА> trap version 2c <COMMUNITY_STRING> snmp-server community <COMMUNITY_STRING> ACL SNMP-ACL

2. Отключите SNMP, если он не используется: bash no snmp-server community <COMMUNITY_STRING> no snmp-server host <ИНТЕРФЕЙС> <IP_АДРЕС> clear configure snmp-server

3. Заблокируйте SNMP-трафик (UDP 161, 162) на внешних интерфейсах ASA: Добавьте правило в глобальный ACL или ACL на внешнем интерфейсе. bash access-list OUTSIDE-IN extended deny udp any any eq snmp access-list OUTSIDE-IN extended deny udp any any eq snmptrap