ALERTA!! :Ejecución de Código remoto y Denegación de Servicio en Cisco con VPN AnyConnect






Una vulnerabilidad identificada como CVE-2018-0101 asociada a la capa de socket seguro (SSL) dentro del servicio VPN, permite que un usuario no autorizado pueda hacer reinicios del sistema afectado o ejecutar código remoto.

La vulnerabilidad ocurre cuando los CISCO ASA intentan liberar memoria, y adicionalmente tienen la característica de Webvpn habilitada. El atacante puede explotar esta vulnerabilidad enviando múltiples paquetes XML modificados de configuración vpn.


La vulnerabilidad se soluciona actualizando el Firewall ya que no tiene workarround.


Para mas detalles adjunto link de la vulnerabilidad al final del Post.

Productos Afectados:

 

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)


Ver si estas vulnerable.


Revisa si esta habilitada la característica de Webvpn en tu firewall.



ciscoasa# show running-config webvpn
webvpn
 enable Outside

Adicionalmente puedes verificar que si el firewall esta en escucha de los puertos
afectados de las siguiente manera.


ciscoasa# show asp table socket
Protocol  Socket    State      Local Address       Foreign Address
SSL       00005898  LISTEN     10.48.66.202:8443    0.0.0.0:*
TCP       00009718  LISTEN     10.48.66.202:23      0.0.0.0:*
TCP       0000e708  LISTEN     10.48.66.202:22      0.0.0.0:*
SSL       00011cc8  LISTEN     10.48.66.202:443     0.0.0.0:*
DTLS      000172f8  LISTEN     10.48.66.202:443     0.0.0.0:*



Versiones Vulnerables.



Adjunto tabla donde aparecen las versiones vulnerables y las versiones propuestas para el parche de la vulnerabilidad.



LINK: CISCO