Оффлайн
- Регистрация
- 12.04.17
- Сообщения
- 19.095
- Реакции
- 107
- Репутация
- 0
В программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) обнаружен ряд опасных уязвимостей. Компания
Самой опасной проблемой является обход пути (
Вторая уязвимость (
Уязвимость обхода аутентификации (CVE-2020-3125) связана с тем, что ASA некорректно проверяет подлинность центра распространения ключей (Key Distribution Center, KDC) сетевого протокола аутентификации Kerberos, когда он успешно получает ответ аутентификации. Проблема затрагивает ASA с аутентификацией Kerberos, настроенной для VPN или доступа к локальному устройству.
Как отметили специалисты, после установки исправления администраторам необходимо внести изменения в конфигурацию, чтобы устранить уязвимость. Устройства ASA все еще могут быть скомпрометированы, если не настроены команды интерфейса командной строки ‘alidate-kdc’ и ‘aaa kerberos import-keytab’.
Проблема утечки памяти (
Программное обеспечение ASA и FTD, настроенное по протоколу DNS через IPv6, также содержит DoS-уязвимость (
Источник:
You must be registered for see links
обновления безопасности, устраняющие восемь DoS-уязвимостей, уязвимость раскрытия информации, уязвимость утечки памяти, уязвимость обхода пути и обхода аутентификации.Самой опасной проблемой является обход пути (
You must be registered for see links
) в ПО ASA и FTD, которая получила оценку в 9,1 балла по шкале CVSS. Уязвимость обнаружил Михаил Ключников из компании Positive Technologies. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного HTTP-запроса, содержащего последовательности символов обхода каталога. Это позволит преступнику просматривать или удалять файлы на системе. Как отметили специалисты, все удаленные файлы восстанавливаются после перезагрузки устройства.Вторая уязвимость (
You must be registered for see links
) в ASA была обнаружена Михаилом Ключниковым и Никитой Абрамовым из Positive Technologies и получила оценку в 7,5 балла по шкале CVSS. Злоумышленник с ее помощью может читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Это позволяет преступнику авторизоваться во внутренней сети организации и получить доступ к конфиденциальной информации, например, логинам, адресам электронной почты, сертификатам и пр. Уязвимость может быть проэксплуатирована удаленно и не требует авторизации.Уязвимость обхода аутентификации (CVE-2020-3125) связана с тем, что ASA некорректно проверяет подлинность центра распространения ключей (Key Distribution Center, KDC) сетевого протокола аутентификации Kerberos, когда он успешно получает ответ аутентификации. Проблема затрагивает ASA с аутентификацией Kerberos, настроенной для VPN или доступа к локальному устройству.
Как отметили специалисты, после установки исправления администраторам необходимо внести изменения в конфигурацию, чтобы устранить уязвимость. Устройства ASA все еще могут быть скомпрометированы, если не настроены команды интерфейса командной строки ‘alidate-kdc’ и ‘aaa kerberos import-keytab’.
Проблема утечки памяти (
You must be registered for see links
) связана с тем, что ASA и FTD некорректно обрабатывают некоторые пакеты протокола Open Shortest Path First (OSPF). Путем отправки специально созданных OSPF-пакетов на уязвимое устройство злоумышленник может непрерывно использовать его память, пока оно не перезагрузится, что приведет к отказу в обслуживании.Программное обеспечение ASA и FTD, настроенное по протоколу DNS через IPv6, также содержит DoS-уязвимость (
You must be registered for see links
). Удаленный неавторизованный злоумышленник может воспользоваться этой ошибкой, отправив специально сформированный DNS-запрос по IPv6 и инициировать перезагрузку устройства, вызвав состояние отказа в обслуживании.Источник:
You must be registered for see links