Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/07

Garrantzia: Altua

Kaltetutako baliabideak:

• Ciscoren produktuak, Cisco ASA (Adaptive Security Appliance) exekutatzen ari badira, VPNrako konfiguratutako Kerberos autentifikazioarekin, edo gailu lokaletarako sarbidearekin;
• Cisco ASA edo Cisco FTDren (Firepower Threat Defense) bertsio ahul bat exekutatzen ari diren Ciscoren produktuak, OSPF (Open Shortest Path First) bideraketa onartzeko konfiguratuta badaude, eta LLS (Link-Local Signaling) blokeen prozesamendua gaituta badute;
• Cisco ASA edo Cisco FTDren bertsio ahul bat exekutatzen ari diren Ciscoren produktuak eta SSL/TLS mezuak prozesatzeko funtzio bat gaituta badute, baina ez hauetara mugatuta: 
• • AnyConnect SSL VPN,
  • Clientless SSL VPN,
  • WebVPN,
  • administrazio interfazerako erabilitako HTTP zerbitzaria;
• Cisco ASA edo Cisco FTDren bertsio ahulak, IPv6 protokoloarekin konfiguratzen direnean;
• Cisco ASA edo Cisco FTDren bertsio ahul bat exekutatzen ari diren Ciscoren produktuak, MGCPren (Media Gateway Control Protocol) trafikoa ikuskatzeko konfiguratuta badaude;
• Cisco FTD, honako bertsioak: 
• • 6.3.0 eta 6.4.0,
  • 6.2.3.12, 6.2.3.13, 6.2.3.14 eta 6.2.3.15, VPN System Logging konfiguratuta badago;
• Cisco FTDren bertsio ahul bat exekutatzen ari diren Ciscoren produktuak, trafiko mota batzuk blokeatzeko sarbidearen kontrol politika batekin konfiguratuta badaude.

Azalpena:

Hainbat ikertzailek 12 ahultasun aurkitu dituzte, guztiak larritasun altukoak. Honako era hauetakoak dira: autentifikazioa saihestea, OSPF pakete jakin batzuk prozesatzean memoriaren babes mekanismo desegokiak, SSL/TLS sarrera konexioetarako baliabideen kudeaketa desegokia, URLaren analisian bufferraren jarraipen (tracking) arazoa, DNS IPv6 pakete batean eremu baten luzeraren baliozkotze okerra, memoriaren kudeaketa ez-eraginkorra, URLaren sarrera egokiaren baliozkotze falta, memoriaren kudeaketa akatsa IPv6ren gainean GRE (Generic Routing Encapsulation) trafikoa prozesatzen denean, sistemaren memoriaren askapen desegokia, eta barne funtzioen arteko komunikazio akatsa.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneraketak Software Ciscoren deskarga paneletik deskarga daitezke.

Xehetasuna:

Ahultasun horiek baliatuko lituzkeen autentifikatu gabeko urruneko erasotzaile batek honako ekintzak egin litzake:

• Kerberos-en KDC (Key Distribution Center) ordeztea eta autentifikazioa saihestea,
• zerbitzuaren ukapena (DoS),
• memoria galtzea (memory leak),
• informazio konfidentziala hedatzea,
• kaltetutako gailua berrabiatzea,
• bideetara kontrolatu gabeko sarbidea (path traversal).

Honako identifikatzaile hauek esleitu dira: CVE-2020-3125, CVE-2020-3298, CVE-2020-3195, CVE-2020-3196, CVE-2020-3259, CVE-2020-3191, CVE-2020-3254, CVE-2020-3187, CVE-2020-3179, CVE-2020-3255, CVE-2020-3189 eta CVE-2020-3283.

Etiketak: Eguneraketa, Cisco, Ahultasuna