Cisco вновь латает критическую уязвимость в Asa
Компания Cisco выпустила новые патчи для критической уязвимости в программном обеспечении Adaptive Security Appliance после того, как дальнейшее исследование выявило дополнительные векторы атак.
Компания впервые сообщила о проблеме CVE-2018-0101, получившей 10 баллов по шкале CVSS, 29 января. Ее обнаружил Седрик Халбронн (Cedric Halbronn) из NCC Group.
«Расширив рамки исследования, инженеры Cisco выявили другие векторы атак и функции, затронутые этой ошибкой, которые специалисты компании NCC Group изначально не заметили. После этого были внесены изменения в бюллетень по безопасности», — отметил в блоге Омар Сантос (Omar Santos), главный инженер группы реагирования на инциденты информационной безопасности Cisco.
Компания Cisco также обнаружила дополнительные условия возникновения отказа в обслуживании. «Сейчас выпущено новое комплексное исправление», — пишет Сантос.
Данная проблема связана с синтаксическим анализатором XML ASA. Злоумышленник мог создать вредоносный файл XML и оправить его через уязвимый интерфейс, после чего обретал возможность «выполнить произвольный код и получить полный контроль над системой, вызвать перезагрузку подвергшегося атаке устройства или остановить обработку входящих запросов проверки подлинности VPN», как отметила Cisco в бюллетене.
Чтобы брешью можно было воспользоваться, в интерфейсе должны быть включены службы Secure Socket Layer (SSL) или IKEv2 Remote Access VPN.
Информация об атаках через эту уязвимость отсутствует, однако Cisco призывает пользователей применить обновленные патчи.
Согласно новой редакции бюллетеня, данная проблема затрагивает 15 продуктов, в которых используется программное обеспечение ASA. В их числе многочисленные версии Firepower Security Appliance, ASA 5500-X Series Next-Generation Firewall и ASA 5500 Series Adaptive Security Appliance.
Действия Cisco в сложившейся ситуации стали предметом критики. Системный администратор и автор многих блог-записей о проблемах сетей и ИБ Колин Эдвардс (Colin Edwards) отметил, что, в его понимании, прошло слишком много времени (80 дней) между выпуском первых патчей для этой уязвимости и публикацией бюллетеня.
«Я понимаю, с какими трудностями сталкиваются компании масштаба Cisco, — пишет Эдвардс. — [Но] восемьдесят дней — это очень долго для уязвимости с рейтингом CVSS 10 на устройствах, которые, как правило, напрямую подключены к Интернету».
«Конечно, клиенты сами в ответе за своевременную установку патчей, — добавил эксперт. — Однако им необходима исчерпывающая информация для правильной расстановки приоритетов среди множества важных задач».
По словам Эдвардса, в бюллетене от 29 января содержались «критически важные для клиентов» сведения.
Компания Cisco опубликовала документ, как только выяснилось, что об уязвимости знает широкая общественность, что соответствует ее политике разглашения информации.
Сантос по этому поводу написал следующее: «Компания Cisco признает важность роли поставщика технологий в защите клиентов, мы не собираемся уклоняться от ответственности за прозрачность и актуальность предоставляемых сведений».