Scarica il bollettino PDF
Transcript
Scarica il bollettino PDF
Computer Emergency Response Team BOLLETTINO IT-CERT.161020.B01 Vulnerabilità critica in Cisco ASA Software Identity Firewall (CVE-2016-6432) Doc.: IT-CERT.161020.B01 ver. 1.0 del 20/10/2016 Pagina 1 di 4 DESCRIZIONE È stata scoperta una vulnerabilità critica (CVE-2016-6432) in prodotti Cisco ASA Software. Gli apparati della serie Cisco ASA (Adaptive Security Appliance) sono router IP con funzionalità di firewall, antivirus di rete, sistema di prevenzione delle intrusioni e server VPN. La vulnerabilità è legata ad un errore di tipo buffer overflow nel codice che implementa la funzionalità Identity Firewall. Un attaccante potrebbe sfruttare questa vulnerabilità inviando un pacchetto NetBIOS appositamente predisposto in risposta ad un NetBIOS probe (sonda) inviato dal software ASA affetto. Se sfruttata con successo, questa vulnerabilità potrebbe consentire l’esecuzione di codice arbitrario da remoto, con conseguente acquisizione del pieno controllo del sistema, o un riavvio del sistema interessato. Nota: solo il traffico diretto al sistema interessato può essere utilizzato per sfruttare la vulnerabilità. Questa vulnerabilità interessa solo i sistemi configurati in modalità routed e transparent firewall e in modalità single context o multiple context. Questa vulnerabilità può essere innescata solo da traffico IPv4. Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Cisco ha rilasciato aggiornamenti software che risolvono la vulnerabilità nei prodotti interessati. È anche disponibile una soluzione alternativa per mitigare questa vulnerabilità. SOLUZIONE Cisco ha rilasciato aggiornamenti software che risolvono la vulnerabilità descritta in questo bollettino. I gestori di apparati Cisco ASA devono installare gli aggiornamenti relativi alla propria piattaforma, dopo appropriato testing. Come soluzione alternativa per mitigare questa vulnerabilità, è possibile disabilitare il probing NetBIOS nel software ASA mediante i comandi seguenti da inserire al prompt del sistema: ciscoasa# configure terminal ciscoasa(config)# no user-identity logout-probe netbios local-system Per maggiori informazioni sui prodotti vulnerabili, sugli aggiornamenti disponibili e sulla soluzione di mitigazione, si raccomanda di consultare il relativo bollettino di sicurezza di Cisco (si veda la sezione LINK UTILI). Doc.: IT-CERT.161020.B01 ver. 1.0 del 20/10/2016 Pagina 2 di 4 SISTEMI Un elenco completo delle versioni dei prodotti Cisco ASA Software affetti dalla vulnerabilità CVE-2016-6432 è contenuto nel relativo bollettino di sicurezza di Cisco (si veda la sezione LINK UTILI). Potrebbero risultare affetti da questa vulnerabilità i seguenti apparati della serie Cisco ASA: Cisco ASA 5500 Series Adaptive Security Appliances Cisco ASA 5500-X Series Next-Generation Firewalls Cisco Catalyst 6500 Series/7600 Series ASA Services Module Cisco ASA 1000V Cloud Firewall Cisco Adaptive Security Virtual Appliance (ASAv) Cisco ASA for Firepower 9300 Series Cisco ASA for Firepower 4100 Series Cisco ISA 3000 Industrial Security Appliance LINK UTILI Avviso del produttore https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161019-asa-idfw Mitre CVE ID http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6432 Doc.: IT-CERT.161020.B01 ver. 1.0 del 20/10/2016 Pagina 3 di 4 VALUTAZIONE CVSS Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm). Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10. CVSS Base Score 9,3 Impact Subscore 10 Exploitability Subscore 8,6 NOTE Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi. In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Doc.: IT-CERT.161020.B01 ver. 1.0 del 20/10/2016 Pagina 4 di 4