📚 Cisco ASA SNMP Service IPv4 Packet Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in Cisco ASA - eine genaue Versionsangabe steht aus - gefunden. Betroffen davon ist eine unbekannte Funktion der Komponente SNMP Service. Mittels Manipulieren durch IPv4 Packet kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 17.08.2016 von Shadow Brokers als cisco-sa-20160817-asa-snmp / CSCva92151 in Form eines bestätigten Advisories (Website) herausgegeben. Auf tools.cisco.com kann das Advisory eingesehen werden. Im Advisory ist nachzulesen:
On August 15, 2016, Cisco was alerted to information posted online by the Shadow Brokers group, which claimed to possess disclosures from the Equation Group. The posted materials included exploits for firewall products from multiple vendors. The Cisco products mentioned were the Cisco PIX and Cisco ASA firewalls.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-6366 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $2k-$5k kosten. Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann. Das Advisory weist darauf hin:The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted SNMP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system. The attacker must know the SNMP community string to exploit this vulnerability.
Es dauerte mindestens 2 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $25k-$50k auf dem Schwarzmarkt. Das Advisory zeigt auf:
Only traffic directed to the affected system can be used to exploit this vulnerability. This vulnerability affects systems configured in routed and transparent firewall mode only and in single or multiple context mode. This vulnerability can be triggered by IPv4 traffic only.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Advisory stellt fest:
Administrators are advised to allow only trusted users to have SNMP access and to monitor affected systems using the snmp-server host command. The SNMP chapter of the Cisco ASA Series General Operations CLI Configuration Guide explains how SNMP is configured in the Cisco ASA.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036637) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 90832 und 90834.
CVSSv3
Base Score: 9.9 [?]Temp Score: 9.5 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 9.0 (CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C) [?]Temp Score: 7.8 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: PufferüberlaufLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
0-Day Time: 2 Tage seit gefunden
Timeline
15.08.2016 Hersteller informiert17.08.2016 Advisory veröffentlicht
17.08.2016 SecurityTracker Eintrag erstellt
18.08.2016 VulDB Eintrag erstellt
18.08.2016 VulDB letzte Aktualisierung
Quellen
Advisory: cisco-sa-20160817-asa-snmp / CSCva92151Firma: Shadow Brokers
Status: Bestätigt
CVE: CVE-2016-6366 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1036637 - Cisco ASA SNMP Buffer Overflow Lets Remote Users Deny Service or Execute Arbitrary Code
Siehe auch: 90832, 90834
Eintrag
Erstellt: 18.08.2016Eintrag: 81.3% komplett
...