CVE-2016-6367

Cisco Adaptive Security Appliance (ASA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-24

Официальное описание

A vulnerability in the command-line interface (CLI) parser of Cisco ASA software could allow an authenticated, local attacker to create a denial-of-service (DoS) condition or potentially execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в парсере командной строки (CLI) Cisco ASA позволяет локальному аутентифицированному злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании (DoS) устройства. Для эксплуатации требуется доступ к привилегированной командной строке устройства (например, уровень доступа 15).

Механизм атаки: 1. Злоумышленник с правами администратора подключается к интерфейсу командной строки ASA (например, через SSH или консоль). 2. Выполняет специально сформированную, длинную и сложную команду, содержащую определенную последовательность символов. 3. Это вызывает переполнение буфера в парсере CLI, что приводит к аварийной остановке процесса (lina), перезагрузке устройства или выполнению произвольного кода.

Как исправить

Установите исправленную версию ПО Cisco ASA. Обновление является единственным полным решением.

Проверьте текущую версию:

show version | include Software

Установите одну из следующих исправленных версий: * Для ASA 5500-X, ASA Services Module, ASA 1000V: * 9.1(7.8) * 9.2(4.13) * 9.3(3.8) * 9.4(2.6) * 9.5(2.4) * 9.6(1.3) * Для ASA 5505, 5510, 5520, 5540, 5550, 5580: * 8.4(7.31) * 8.2(5.57) * 9.1(7.8)

Процедура обновления (пример для ASA 5500-X): 1. Скачайте исправленный образ с сайта Cisco. 2. Загрузите его на устройство: bash copy tftp://<tftp_server>/asa961-3-smp-k8.bin disk0: 3. Укажите новый образ для загрузки: bash boot system disk0:/asa961-3-smp-k8.bin write memory 4. Перезагрузите ASA: bash reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Строгое управление доступом:

    • Минимизируйте количество пользователей с привилегированным доступом (уровень 15).
    • Используйте AAA (TACACS+/RADIUS) для централизованной аутентификации, авторизации и учёта всех административных сессий.
    • Реализуйте принцип наименьших привилегий.

  2. Ограничение административного доступа:

    • Разрешите подключения к CLI (SSH, Telnet, консоль) только с доверенных управляющих хостов, используя ACL на интерфейсе management или management-access команды.
    • Пример ACL для разрешения доступа только с одной подсети: bash access-list MGMT_ACCESS standard permit 10.10.10.0 255.255.255.0 management-access inside ssh 10.10.10.0 255.255.255.0 inside

  3. Мониторинг и аудит:

    • Включите детальное логирование административных сессий (logging enable, logging timestamp, logging buffer debugging).
    • Настройте отправку логов на внешний syslog-сервер.
    • Регулярно просматривайте логи на предмет подозрительной активности (например, множественные попытки выполнения длинных или нестандартных команд).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей