Cisco ASA nın kritik güvenlik açığı

Exodus İntelligence şirketin, David Barksdale, Jordan Gruskovnâk ve Alex Wheeler, araştırmacılar tarafından Cisco ASA güvenlik duvarlarında kritik bir güvenlik açığı bulundu. Güvenlik hatası kimliği doğrulanmamış bir kullanıcının uzaktan rastgele kod çalıştırma gerçekleştirme veya aygıtı yeniden başlatma gibi yetkiyi sağlar.

CVSS sistemine göre CVE-2016-1287 güvenlik açığı son derece tehlikeli bir güvenlik hatası olarak, en yüksek 10 puanı aldı. Güven açığını başarılı şekilde istismar etmek için kontrol sistemine özel hazırlanan UDP-paketi göndermek gerekiyor. Güvenlik açığı IKE içerdiği (Internet Key Exchange) v1 ve v2 güvenlik duvarın yazılımında yer alıyor. Hata, özel olarak oluşturulan bir UDP paketi arabelleğin aşımını, bu da uzaktan kodun gerçekleştirme(RCE) fırsatı verebilir. Böylece, IKEv1 veya Ikev2 VPN bağlantılarına kabul edecek biçimde özelleştirilmiş sistemlerde güvenlik açığından yararlanılabilir. Clientless SSL ve AnyConnect SSL VPNbağlantılarına ayarlanmış cihazlar bu hata tarafından etkilenmez. Cisco sitesinde yayınlanan bülten listesinde, güvenlik açığından etkilenen cihazlar:

 Cisco ASA 5500 Series Adaptive Security Appliances

 Cisco ASA 5500-X Series Next-Generation Firewalls

 Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

 Cisco ASA 1000V Cloud Firewall

 Cisco Adaptive Security Virtual Appliance (ASAv)

 Cisco Firepower 9300 ASA Security Module

 Cisco ISA 3000 Industrial Security Appliance

İddia edilen mesajda, Cisco, şu an, tespit edilen bir güvenlik açığını kullanarak, başarılı bir saldırı gerçekleştiğine dair bir bilgisi yok. Ancak, SANS ISC teknik direktörü Johannes Ulrich internet örgütün sitesinde yayınlanan açıklamasında, UDP 500 ve 400 portların inanılmaz şekilde arttığını, uzman, exploitin bu şekilde yayacaklarını belirtti.

Nasıl önlenir?

Cisco ASA cihazların yöneticileri, savunmasız listesinde yer alan ve üretici tarafından önerilen güvenlik güncellemeleri gerçekleştirmeyen cihazlarda, savunmasız olup olmadığını kendi ekipmanı için aşağıdaki komutu kullanarak kontrol edebilir:

Komut cryptocat ı döndürürse, güvenlik açığı bulunan bir cihazdır.

Exodusun araştırmacıları, yazısında güvenlik açığından yararlanma girişimleri algılama tarifini açıkladılar.

Ayrıca, Cisco ASA (7.2, 8.2, 8.3, 8.6), sürümler var, aynı zamanda güvenlik açığı olan, ama zaten üretici tarafından desteklenmeyen versiyonlar. Bu cihazlarda güvenlik açığını kapatmak için ek yazılım üretilmeyecek. Bu tür ekipmanların sahipleri ancak eski versiyonunu yeni versiyonla güncelleyerek veya özel koruma araçları tespit etmek için siber suçlular tarafından oluşturulan paketleri kullanarak DPI ile kendini koruyabilir. Ağ donanımda güvenlik açığı var olup olmadığını güvenlik kontrol sistemi ve MaxPatrol 8 standartlara uyumluluk yardımıyla tespit edebilirsiniz. Cisco ASA güvenlik ürünleri ünlü tedarikçilerinden biri Ağ Güvenliği Çözümleri son zamanlarda bulunan ilk güvenlik hatası değil. Aralık ayın sonunda, 2015 yılında, Juniper ekranların güvenlik duvarında, arka kapı(backdoor) yani kötü amaçlı yazılım türünün var olması medyada yer aldı. Buna ek olarak, skandalın ortasında Fortinet güvenlik ekipmanı üretici şirketi vardı, ürünlerinde uzaktan erişimi sağlayan parolalar bulunmuştur.

Kaynak: http://blog.kanije.com.tr/cisco-asa-nin-kritik-guvenlik-acigi-sorun-nedir-ve-nasil-onlenir-35935/