CVE-2016-1287 – Cisco ASA IKE Vulnerability

CVE-2016-1287 – Cisco ASA IKE Vulnerability

DearBytesAlertsCVE-2016-1287 – Cisco ASA IKE Vulnerability

UPDATE 17-05-2016 18:00
Exodus Intel heeft zojuist Exploit code beschikbaar gesteld aan de gemeenschap dienende als voorbeeld voor analyse en mitigatie. Hiermee is tevens de kans op exploitatie sterk toegenomen, DearBytes raad organisaties aan om te controleren of de systemen reeds van de benodigde update zijn voorzien.

Wat is er aan de hand?

Er is een ernstige kwetsbaarheid ontdekt in de ASA software van Cisco. Hierdoor is het voor een aanvaller mogelijk een ASA systeem, zoals de bekende ASA Firewall, opnieuw op te starten of op afstand code uit te voeren. De kwetsbaarheid heeft het unieke identificatienummer CVE-2016-1287 gekregen.

De kwetsbaarheid zit in de implementatie van het Internet Key Exchange (IKE) protocol versie 1 en 2 in de code van Cisco ASA Software. Dit protocol wordt gebruikt voor het opbouwen van VPN verbindingen.

Meer technische details over het lek zijn te vinden op het blog van de ontdekker: https://blog.exodusintel.com/2016/01/26/firewall-hacking/

Waarom is dit belangrijk?

Wanneer een Cisco firewall is ingeschakeld om VPN verbindingen op te bouwen, is de kans aanzienlijk dat dit lek op afstand te misbruiken is. Een aanvaller kan zo volledige controle over uw internet firewall krijgen.

Ook al betreft de kwetsbaarheid alleen gebruikers van Cisco ASA producten, toch heeft DearBytes besloten hier een alert aan te verbinden. Dit vanwege de potentiële (grote) impact die misbruik van het lek tot gevolg kan hebben.

Op wie is dit van toepassing?

Cisco ASA Software op de volgende producten zijn kwetsbaar:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Wat kunt u doen?

Cisco heeft een patch en een security advisory gepubliceerd. Gebruikers van kwetsbare machines worden geadviseerd zo spoedig mogelijk te patchen om misbruik door derden te voorkomen.

Voor meer informatie over de kwetsbaarheid zie: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

Wat doet DearBytes?

Voor klanten waar DearBytes het beheer uitvoert van vulnerability management, zal DearBytes een inventarisatie maken van de kwetsbare systemen en deze rapportage met u delen.

Voor klanten waar DearBytes het beheer uitvoert van Intrusion Prevention / Detection zullen, zodra deze beschikbaar zijn, detectierules worden geactiveerd om misbruik te herkennen en – na uw akkoord – te blokkeren.

Het DearBytes Incident Response team is continu in staat van paraatheid om u te helpen. Neem telefonisch contact op voor de snelst mogelijke inzet.