Cisco adviseert zijn klanten die Adaptive Security Appliance (ASA)-software gebruiken om een ernstige VPN-bug te dichten. Door het lek zijn kwaadwillenden in staat om apparaten van afstand over te nemen. Doordat de bug eenvoudig te misbruiken is en de schade aanzienlijke kan zijn, krijgt de kwetsbaarheid de maximale Common Vulnerability Score System (CVSS)-score.

Een veiligheidsonderzoeker zal dit weekend de manier waarop de kwetsbaarheid misbruikt kan worden bekendmaken. De zogenoemde double-free kwetsbaarheid met kenmerk CVE-2018-010 maakt het niet alleen mogelijk om van afstand code uit te voeren, maar kan ook een reload veroorzaken bij een geïnfecteerd systeem.

Getroffen apparaten

Voor een succesvolle aanval is het wel noodzakelijk dat de webvpn-feature ingeschakeld is op een Cisco ASA-apparaat. Als webvpn ingeschakeld is dan moet een hacker meerdere handgemaakte XML-pakketten versturen. Dit is mogelijk op de volgende Cisco-apparaten:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

De bug heeft betrekking op FTD 6.2.2. Deze versie werd in september beschikbaar gemaakt en ondersteunde als eerste remote access VPN. Systemen met grote FTD-versies voor 6.2.2 zijn niet kwetsbaar. Cisco geeft aan dat de bug publiekelijk bekend is, maar dat er voor zover bekend geen aanvallen zijn die er misbruik van maakten.

Vervolg

Er zijn instructies voor admins beschikbaar om te ontdekken welke versie ASA en FTD ze gebruiken. Afhankelijk daarvan kan overgegaan worden tot actie. De bug werd gevonden door beveiligingsonderzoeker Cedric Halbronn van NCC Group. Komend weekend komt hij met meer details over de kwetsbaarheid en de manier waarop hij die vond. Dan vindt namelijk de Recon Brussels 2018-conferentie plaats.