CVE-2018-0296

Cisco Adaptive Security Appliance (ASA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Cisco Adaptive Security Appliance (ASA) contains an improper input validation vulnerability with HTTP URLs. Exploitation could allow an attacker to cause a denial-of-service (DoS) condition or information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ПО Cisco ASA (CVE-2018-0296) связана с недостаточной проверкой входных данных в обработчике HTTP-запросов. Атакующий может отправить специально сформированный HTTP-запрос к веб-интерфейсу устройства (ASDM) или к функции SSL VPN.

Результат эксплуатации: * Отказ в обслуживании (DoS): Устройство может перезагрузиться, что приведет к простою сети. * Раскрытие информации: В ответ на запрос может быть возвращена конфиденциальная информация о системе (например, части содержимого памяти), что упрощает дальнейшие атаки.

Как исправить

Основной метод — обновление ПО Cisco ASA до версии, в которой уязвимость устранена.

Порядок действий: 1. Определите текущую версию ПО: bash show version | include Software 2. Загрузите и установите исправленную версию ПО с сайта Cisco. * Для ASA 9.1 — обновитесь до версии 9.1.7.23 или новее. * Для ASA 9.2 — обновитесь до версии 9.2.4.25 или новее. * Для ASA 9.3 — обновитесь до версии 9.3.3.10 или новее. * Для ASA 9.4 — обновитесь до версии 9.4.4.9 или новее. * Для ASA 9.5 — обновитесь до версии 9.5.3.15 или новее. * Для ASA 9.6 — обновитесь до версии 9.6.4.12 или новее. * Для ASA 9.7 — обновитесь до версии 9.7.1.21 или новее. * Для ASA 9.8 — обновитесь до версии 9.8.2.20 или новее. * Для ASA 9.9 — обновитесь до версии 9.9.2.50 или новее.

*Примечание: Версии старше 9.1.x уязвимы, но не поддерживаются. Требуется обновление до одной из указанных выше поддерживаемых версий.*
  1. Пример команды для копирования нового образа и указания его для загрузки: bash copy tftp://<TFTP_SERVER_IP>/asa-<version>.bin flash: boot system flash:/asa-<version>.bin write memory reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к уязвимым интерфейсам.

  1. Ограничьте доступ к веб-интерфейсу (ASDM) и SSL VPN:

    • Настройте ACL (Access Control List) на интерфейсах ASA, разрешающий подключения только с доверенных IP-адресов (административных сетей). bash ! Пример для интерфейса inside access-list MGMT_ACL extended permit ip <TRUSTED_NETWORK> <MASK> any access-group MGMT_ACL in interface inside
    • Отключите веб-интерфейс (ASDM) на публичных интерфейсах, если он не используется для удаленного администрирования извне. bash no http server enable
    • Для SSL VPN (webvpn) убедитесь, что он включен только на необходимых интерфейсах.

  2. Используйте внешние средства защиты:

    • Настройте правила на вышестоящем брандмауэре или WAF (Web Application Firewall) для блокировки всех HTTP-запросов к IP-адресам ASA, кроме как из доверенных сетей.
    • Правило WAF должно фильтровать подозрительные или нестандартные HTTP-запросы к устройству.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей