Vulnerabilità servizi VPN Cisco ASA

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa nota una importante vulnerabilità presente all'interno delle funzionalità VPN di numerose versioni di firewall di nuova generazione Cisco ASA. La problematica è nota con l'identificativo CVE-2016-1287 e rappresenta un elevato rischio per la sicurezza delle reti protette dagli apparati firewall vulnerabili in quanto attaccanti remoti, senza alcuna forma di autenticazione sul sistema, sono in grado di sfruttare la vulnerabilità per degradare, interrompere e riavviare i servizi erogati dall'appliance vittima o, nel peggiore dei casi, compromettere ed ottenere accesso di amministrazione al firewall.

La problematica di sicurezza riguarda lacune nella gestione di particolari pacchetti relativi a servizi VPN che utilizzano protocolli IKE v1 e IKE v2 (Internet Key Exchange), dove attraverso l'invio di particolari sequenze di pacchetti UDP è possibile causare il riavvio o la compromissione degli Appliance vulnerabili che fungono da Gateway VPN. Questa vulnerabilità riguarda perciò varie tipologie di VPN erogate dai dispositivi Cisco ASA:

• LAN-to-LAN IPsec VPN
• Remote Access VPN con client IPsec VPN
• Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN
• IKEv2 AnyConnect

Non risultano invece affette le VPN Clientless SSL ed AnyConnect SSL.

Il produttore ha confermato la presenza e l'elevata gravità della vulnerabilità all'interno del bollettino di sicurezza cisco-sa-20160210-asa-ike dove vengono indicati gli aggiornamenti di sicurezza necessari a risolvere la problematica. Yoroi suggerisce di applicare o richiedere l'applicazione degli aggiornamenti indicati dal produttore in quanto non sono disponibili modalità alternative di mitigazione del rischio se non la disabilitazione dei servizi VPN indicati. Nel dettaglio, risultano affetti dalla problematica gli appliance di sicurezza:

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• Cisco ASA 1000V Cloud Firewall
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco Firepower 9300 ASA Security Module
• Cisco ISA 3000 Industrial Security Appliance

Per verificare la presenza di VPN potenzialmente vulnerabili su interfaccie di rete pubbliche è possibile eseguire il seguente comando di diagnostica:

• show running-config crypto map | include interface

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, e di avvalervi di servizi di verifica dello stato di sicurezza delle infrastrutture di rete come Vulnerability Assessment e Vulnerability Management al fine di ottenere una più completa visibilità fondamentale alla gestione del rischio intrinsecamente presente nell'utilizzo e nella pubblicazione di complessi servizi tecnologici.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index