Scarica il bollettino PDF

Computer Emergency Response Team
BOLLETTINO IT-CERT.161020.B01
Vulnerabilità critica in Cisco ASA Software
Identity Firewall
(CVE-2016-6432)
Doc.: IT-CERT.161020.B01
ver. 1.0 del 20/10/2016
Pagina 1 di 4
DESCRIZIONE
È stata scoperta una vulnerabilità critica (CVE-2016-6432) in prodotti Cisco ASA Software. Gli apparati della
serie Cisco ASA (Adaptive Security Appliance) sono router IP con funzionalità di firewall, antivirus di rete,
sistema di prevenzione delle intrusioni e server VPN.
La vulnerabilità è legata ad un errore di tipo buffer overflow nel codice che implementa la funzionalità
Identity Firewall. Un attaccante potrebbe sfruttare questa vulnerabilità inviando un pacchetto NetBIOS
appositamente predisposto in risposta ad un NetBIOS probe (sonda) inviato dal software ASA affetto. Se
sfruttata con successo, questa vulnerabilità potrebbe consentire l’esecuzione di codice arbitrario da
remoto, con conseguente acquisizione del pieno controllo del sistema, o un riavvio del sistema interessato.
Nota: solo il traffico diretto al sistema interessato può essere utilizzato per sfruttare la vulnerabilità. Questa
vulnerabilità interessa solo i sistemi configurati in modalità routed e transparent firewall e in modalità
single context o multiple context. Questa vulnerabilità può essere innescata solo da traffico IPv4.
Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali.
Cisco ha rilasciato aggiornamenti software che risolvono la vulnerabilità nei prodotti interessati. È anche
disponibile una soluzione alternativa per mitigare questa vulnerabilità.
SOLUZIONE
Cisco ha rilasciato aggiornamenti software che risolvono la vulnerabilità descritta in questo bollettino. I
gestori di apparati Cisco ASA devono installare gli aggiornamenti relativi alla propria piattaforma, dopo
appropriato testing.
Come soluzione alternativa per mitigare questa vulnerabilità, è possibile disabilitare il probing NetBIOS nel
software ASA mediante i comandi seguenti da inserire al prompt del sistema:
ciscoasa# configure terminal
ciscoasa(config)# no user-identity logout-probe netbios local-system
Per maggiori informazioni sui prodotti vulnerabili, sugli aggiornamenti disponibili e sulla soluzione di
mitigazione, si raccomanda di consultare il relativo bollettino di sicurezza di Cisco (si veda la sezione LINK
UTILI).
Doc.: IT-CERT.161020.B01
ver. 1.0 del 20/10/2016
Pagina 2 di 4
SISTEMI
Un elenco completo delle versioni dei prodotti Cisco ASA Software affetti dalla vulnerabilità CVE-2016-6432
è contenuto nel relativo bollettino di sicurezza di Cisco (si veda la sezione LINK UTILI).
Potrebbero risultare affetti da questa vulnerabilità i seguenti apparati della serie Cisco ASA:








Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco Catalyst 6500 Series/7600 Series ASA Services Module
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco ASA for Firepower 9300 Series
Cisco ASA for Firepower 4100 Series
Cisco ISA 3000 Industrial Security Appliance
LINK UTILI
Avviso del produttore
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161019-asa-idfw
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6432
Doc.: IT-CERT.161020.B01
ver. 1.0 del 20/10/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i
seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 9,3
Impact Subscore 10
Exploitability Subscore 8,6
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.161020.B01
ver. 1.0 del 20/10/2016
Pagina 4 di 4