📚 Cisco ASA Identity Firewall NetBIOS Packet Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Cisco ASA - eine genaue Versionsangabe ist nicht möglich - , ein Firewall, wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion der Komponente Identity Firewall. Durch Manipulation durch NetBIOS Packet kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 19.10.2016 durch Slipper und Kelwin als cisco-sa-20161019-asa-idfw in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter tools.cisco.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-6432 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $5k-$10k zu rechnen. Das Advisory weist darauf hin:
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending a crafted NetBIOS packet in response to a NetBIOS probe sent by the ASA software. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or cause a reload of the affected system.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Mit der Einstellung no user-identity logout-probe netbios local-system
kann das Problem zusätzlich adressiert werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat folglich unmittelbar reagiert. Das Advisory stellt fest:
When NetBIOS probing is not enabled, as in the default configuration, the ASA software relies on an idle timeout mechanism to remove user-to-IP address mapping entries. NetBIOS probing is used to proactively determine if a user has logged out of the network, allowing the ASA software to remove the user-to-IP address mapping more quickly than if idle timeout is the only mechanism used for this purpose.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037059) dokumentiert. Die Einträge 92999 sind sehr ähnlich.
CVSSv3
Base Score: 7.3 [?]Temp Score: 7.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: PufferüberlaufLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Config: no user-identity logout-probe netbios local-system
Timeline
19.10.2016 Advisory veröffentlicht19.10.2016 Gegenmassnahme veröffentlicht
19.10.2016 SecurityTracker Eintrag erstellt
20.10.2016 VulDB Eintrag erstellt
20.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: cisco-sa-20161019-asa-idfwPerson: Slipper/Kelwin
Status: Bestätigt
CVE: CVE-2016-6432 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1037059 - Cisco ASA Buffer Overflow in Identity Firewall Lets Remote Users Execute Arbitrary Code
Siehe auch: 92999
Eintrag
Erstellt: 20.10.2016Eintrag: 80.3% komplett
...