Una vulnerabilidad identificada como CVE-2018-0101 asociada a la capa de socket seguro (SSL) dentro del servicio VPN, permite que un usuario no autorizado pueda hacer reinicios del sistema afectado o ejecutar código remoto.
La vulnerabilidad ocurre cuando los CISCO ASA intentan liberar memoria, y adicionalmente tienen la característica de Webvpn habilitada. El atacante puede explotar esta vulnerabilidad enviando múltiples paquetes XML modificados de configuración vpn.
La vulnerabilidad se soluciona actualizando el Firewall ya que no tiene workarround.
Para mas detalles adjunto link de la vulnerabilidad al final del Post.
Productos Afectados:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
Ver si estas vulnerable.
Revisa si esta habilitada la característica de Webvpn en tu firewall.
ciscoasa# show running-config webvpn
webvpn
enable Outside
Adicionalmente puedes verificar que si el firewall esta en escucha de los puertos
afectados de las siguiente manera.
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00005898 LISTEN 10.48.66.202:8443 0.0.0.0:*
TCP 00009718 LISTEN 10.48.66.202:23 0.0.0.0:*
TCP 0000e708 LISTEN 10.48.66.202:22 0.0.0.0:*
SSL 00011cc8 LISTEN 10.48.66.202:443 0.0.0.0:*
DTLS 000172f8 LISTEN 10.48.66.202:443 0.0.0.0:*
Versiones Vulnerables.
Adjunto tabla donde aparecen las versiones vulnerables y las versiones propuestas para el parche de la vulnerabilidad.
LINK: CISCO