[PERINGATAN KEAMANAN] Celah Keamanan VPN & Firewall Pada Sistem Cisco
    April 5, 2018, 6:38 a.m. Posted by: aka56

    ------------------------------------------------------------------—

    PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

    Nomor: IDCERT 2018 – 0002

    Tanggal:25 FEB 2018

    Diperbaharui: -

    Dibuatkan oleh: M. Bainul Haqi & Emil F. Yakhya

    =============================================

    Celah Keamanan VPN & Firewall Pada Sistem Cisco

    Garis Besar

    Celah keamanan pada parser XML pada perangkat lunak Adaptive Security Appliance (ASA) milik Cisco memungkinkan penyerang yang tidak berkepentingan dari jarak jauh untuk me-reload atau mengeksekusi kode pada sistem yang terkena dampak. Mungkin juga ASA dapat menghentikan pemrosesan permintaan otentikasi Virtual Private Network (VPN) yang masuk karena kondisi memori yang rendah.

    Celah ini terjadi karena terdapat isu pengalokasian dan pembebasan memori ketika memproses muatan XML yang berbahaya. Penyerang dapat memanfaatkan kerentanan ini dengan mengirimkan paket XML buatan ke celah antarmuka pada sistem yang terpengaruh. Eksploitasi dapat memungkinkan penyerang untuk mengeksekusi kode arbitrary dan mendapatkan kontrol penuh terhadap sistem, menyebabkan reload pada perangkat yang terpengaruh atau menghentikan proses permintaan otentikasi VPN yang masuk.

    ASA harus memiliki layanan Secure Socket Layer (SSL) atau IKEv2 Remote Access VPN yang diaktifkan pada antarmukanya agar menjadi rentan. Risiko celah untuk dapat dieksploitasi juga bergantung pada kemampuan penyerang mengakses antarmuka. Untuk daftar lengkap fitur ASA yang rentan silakan merujuk ke tabel di bagian Produk Rentan di bawah.

    Cisco telah merilis pembaruan perangkat lunak yang mengatasi kerentanan ini. Tidak ada solusi yang membahas semua fitur yang terpengaruh oleh kerentanan ini. Setelah penyelidikan lebih lanjut, Cisco telah mengidentifikasi vektor serangan tambahan dan fitur yang terpengaruh oleh kerentanan ini.

    Saran ini tersedia di link berikut:

    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

     

    Produk Terdampak

    Daftar produk

    Kerentanan ini mempengaruhi Cisco ASA Software yang berjalan pada produk Cisco berikut ini:



    • 3000 Series Industrial Security Appliance (ISA)




    • ASA 5500 Series Adaptive Security Appliances




    • ASA 5500-X Series Next-Generation Firewalls




    • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers




    • ASA 1000V Cloud Firewall




    • Adaptive Security Virtual Appliance (ASAv)




    • Firepower 2100 Series Security Appliance




    • Firepower 4110 Security Appliance




    • Firepower 4120 Security Appliance




    • Firepower 4140 Security Appliance




    • Firepower 4150 Security Appliance




    • Firepower 9300 ASA Security Module




    • Firepower Threat Defense Software (FTD)




    • FTD Virtual (FTDv)



     

     

    ASA Software

     

    Pada tabel berikut, kolom kiri berisi daftar fitur Cisco ASA yang rentan. Kolom kanan menunjukkan konfigurasi yang rentan dari perintah CLI show running-config, jika bisa ditentukan.

     






































































































































    Fitur



    Konfigurasi yang rentan



    Adaptive Security Device Manager (ASDM)1



    http server enable <port>



    http <remote_ip_address> <remote_subnet_mask> <interface_name>



    AnyConnect IKEv2 Remote Access (with client services)



    crypto ikev2 enable <interface_name> client-services port <port #>



    webvpn



       anyconnect enable



    AnyConnect IKEv2 Remote Access (without client services)



    crypto ikev2 enable <interface_name>



    webvpn



       anyconnect enable



    AnyConnect SSL VPN



    webvpn



       enable <interface_name>



    Cisco Security Manager2



    http server enable <port>



    http <remote_ip_address> <remote_subnet_mask> <interface_name> 



    Clientless SSL VPN



    webvpn



       enable <interface_name>



    Cut-Through Proxy (Not vulnerable unless used in conjunction with other vulnerable features on the same port)



    aaa authentication listener <interface_name> port <number>



    Local Certificate Authority (CA)



    crypto ca server



     no shutdown



    Mobile Device Manager (MDM) Proxy3



    mdm-proxy



      enable <interface_name>



    Mobile User Security (MUS)



    webvpn



     mus password <password>



     mus server enable port <port #>



     mus <address> <mask> <interface_name>



    Proxy Bypass



    webvpn 



      proxy-bypass



    REST API4



    rest-api image disk0:/<image name>



    rest-api agent



    Security Assertion Markup Language (SAML) Single Sign-On (SSO)5



    N/A


    1ASDM hanya rentan dari IP address di dalam konfigurasi http command range.

    2 Cisco Security Manager hanya rentan dari IP address di dalam konfigurasi http command range.

    3MDM Proxy pertama kali disupport oleh rilis 9.3.1.

    4REST API pertama kali disupport oleh rilis 9.3.2. REST API hanya rentan dari IP address di dalam konfigurasi http command range.

    5SAML SSO pertama kali disupport oleh rilis 9.6.

     

    FTD Software

     

    Pada tabel berikut, kolom kiri mencantumkan fitur Cisco FTD yang rentan. Kolom kanan menunjukkan konfigurasi yang rentan dari perintah CLI show running-config, jika bisa ditentukan.

     





















































    Fitur



    Konfigurasi yang rentan



    HTTP Service enabled1



    http server enable <port #>



    http <remote_ip_address> <remote_subnet_mask> <interface_name>



    AnyConnect IKEv2 Remote Access (with client services)2,3



    crypto ikev2 enable <interface_name> client-services port <port #> 



    webvpn



      anyconnect enable



    AnyConnect IKEv2 Remote Access (without client services)2,3



    crypto ikev2 enable <interface_name>



    webvpn



      anyconnect enable



    AnyConnect SSL VPN2,3



    webvpn



      enable <interface_name>


    1 Fitur HTTP diaktifkan via Firepower Threat Defense Platform Settings > HTTP on the Firepower Management Console (FMC).

    2 Fitur Remote Access VPN diaktifkan via Devices > VPN > Remote Access on the FMC or via Device > Remote Access VPN on the Firepower Device Manager (FDM).

    3 Fitur Remote Access VPN disupport pertama pada rilis 6.2.2.

     

    Solusi

     

    Cisco telah merilis pembaruan perangkat lunak yang bertujuan mengatasi kerentanan dalam peringatan keamanan ini. Pelanggan hanya dapat menginstall dan mengharapkan dukungan untuk versi software dan set fitur yang telah mereka beli lisensinya.

     

    Pelanggan harus memastikan bahwa perangkat yang akan diupgrade memiliki memori yang cukup dan memastikan bahwa konfigurasi perangkat keras dan lunak saat ini akan terus didukung oleh rilis terbaru. Apabila informasi tersebut kurang dipahami, pelanggan disarankan menghubungi Cisco Technical Assistance Center (TAC) atau penyedia perawatan masing-masing.

     

























































    Cisco ASA Major Release 



    First Fixed Release 



    8.x



    Affected; migrate to 9.1.7.23



    9.0



    Affected; migrate to 9.1.7.23



    9.1 



    9.1.7.23



    9.2 



    9.2.4.27



    9.3



    Affected; migrate to 9.4.4.16



    9.4 



    9.4.4.16



    9.5



    Affected; migrate to 9.6.4.3



    9.6



    9.6.4.3



    9.7



    9.7.1.21



    9.8



    9.8.2.20



    9.9



    9.9.1.2


     

    Perangkat lunak ini tersedia untuk diunduh dari Cisco Software Center dengan menavigasi ke Products > Security > Firewalls > Adaptive Security Appliances (ASA) > ASA 5500-X Series Firewalls dimana terdapat daftar platform perangkat ASA. Sebagian besar rilis perangkat lunak ini terdaftar di bawah Interim.

     

     






































































    Cisco FTD Major Release 



    First Fixed Release 



    6.0.0



    Affected; migrate to 6.0.1 HotFix or later



    6.0.1



    Cisco_FTD_Hotfix_BH-6.0.1.5-1.sh (All FTD hardware platforms except 41xx and 9300)



    Cisco_FTD_SSP_Hotfix_BH-6.0.1.5-1.sh (41xx and 9300 FTD hardware platform)



    6.1.0



    Cisco_FTD_Hotfix_DZ-6.1.0.7-1.sh (All FTD hardware platforms except 41xx and 9300)



    Cisco_FTD_SSP_Hotfix_DZ-6.1.0.7-1.sh (41xx and 9300 FTD hardware platform)



    6.2.0



    Cisco_FTD_Hotfix_BN-6.2.0.5-3.sh (All FTD hardware platforms except 41xx and 9300)



    Cisco_FTD_SSP_Hotfix_BN-6.2.0.5-3.sh (41xx and 9300 FTD hardware platform)



    6.2.1



    Affected; migrate to 6.2.2 HotFix 



    6.2.2



    Cisco_FTD_SSP_FP2K_Hotfix_AN-6.2.2.2-4.sh.REL.tar (21xx FTD hardware platform)



    Cisco_FTD_SSP_Hotfix_AO-6.2.2.2-1.sh.REL.tar (41xx and 9300 FTD hardware platforms)



    Cisco_FTD_Hotfix_AO-6.2.2.2-1.sh.REL.tar (All other FTD hardware platforms)



    6.2.2 (Azure)



    6.2.2-201


     

     

    Perangkat lunak ini tersedia untuk diunduh dari Cisco Software Center dengan menavigasi ke Products > Security > Firewalls > Next-Generation Firewalls (NGFW) di mana terdapat daftar kemungkinan platform perangkat keras FTD.

     

    Referensi