ID-CERT | [PERINGATAN KEAMANAN] Celah Keamanan VPN & Firewall Pada Sistem Cisco

[PERINGATAN KEAMANAN] Celah Keamanan VPN & Firewall Pada Sistem Cisco

—------------------------------------------------------------------—

PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

Nomor: IDCERT 2018 – 0002

Tanggal:25 FEB 2018

Diperbaharui: -

Dibuatkan oleh: M. Bainul Haqi & Emil F. Yakhya

=============================================

Celah Keamanan VPN & Firewall Pada Sistem Cisco

Garis Besar

Celah keamanan pada parser XML pada perangkat lunak Adaptive Security Appliance (ASA) milik Cisco memungkinkan penyerang yang tidak berkepentingan dari jarak jauh untuk me-reload atau mengeksekusi kode pada sistem yang terkena dampak. Mungkin juga ASA dapat menghentikan pemrosesan permintaan otentikasi Virtual Private Network (VPN) yang masuk karena kondisi memori yang rendah.

Celah ini terjadi karena terdapat isu pengalokasian dan pembebasan memori ketika memproses muatan XML yang berbahaya. Penyerang dapat memanfaatkan kerentanan ini dengan mengirimkan paket XML buatan ke celah antarmuka pada sistem yang terpengaruh. Eksploitasi dapat memungkinkan penyerang untuk mengeksekusi kode arbitrary dan mendapatkan kontrol penuh terhadap sistem, menyebabkan reload pada perangkat yang terpengaruh atau menghentikan proses permintaan otentikasi VPN yang masuk.

ASA harus memiliki layanan Secure Socket Layer (SSL) atau IKEv2 Remote Access VPN yang diaktifkan pada antarmukanya agar menjadi rentan. Risiko celah untuk dapat dieksploitasi juga bergantung pada kemampuan penyerang mengakses antarmuka. Untuk daftar lengkap fitur ASA yang rentan silakan merujuk ke tabel di bagian Produk Rentan di bawah.

Cisco telah merilis pembaruan perangkat lunak yang mengatasi kerentanan ini. Tidak ada solusi yang membahas semua fitur yang terpengaruh oleh kerentanan ini. Setelah penyelidikan lebih lanjut, Cisco telah mengidentifikasi vektor serangan tambahan dan fitur yang terpengaruh oleh kerentanan ini.

Saran ini tersedia di link berikut:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

Produk Terdampak

Daftar produk

Kerentanan ini mempengaruhi Cisco ASA Software yang berjalan pada produk Cisco berikut ini:

3000 Series Industrial Security Appliance (ISA)

ASA 5500 Series Adaptive Security Appliances

ASA 5500-X Series Next-Generation Firewalls

ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

ASA 1000V Cloud Firewall

Adaptive Security Virtual Appliance (ASAv)

Firepower 2100 Series Security Appliance

Firepower 4110 Security Appliance

Firepower 4120 Security Appliance

Firepower 4140 Security Appliance

Firepower 4150 Security Appliance

Firepower 9300 ASA Security Module

Firepower Threat Defense Software (FTD)

FTD Virtual (FTDv)

ASA Software

Pada tabel berikut, kolom kiri berisi daftar fitur Cisco ASA yang rentan. Kolom kanan menunjukkan konfigurasi yang rentan dari perintah CLI show running-config, jika bisa ditentukan.

Fitur	Konfigurasi yang rentan
Adaptive Security Device Manager (ASDM)¹	http server enable <port>
Adaptive Security Device Manager (ASDM)¹	http <remote_ip_address> <remote_subnet_mask> <interface_name>
AnyConnect IKEv2 Remote Access (with client services)	crypto ikev2 enable <interface_name> client-services port <port #>
	webvpn
	anyconnect enable
AnyConnect IKEv2 Remote Access (without client services)	crypto ikev2 enable <interface_name>
	webvpn
	anyconnect enable
AnyConnect SSL VPN	webvpn
AnyConnect SSL VPN	enable <interface_name>
Cisco Security Manager²	http server enable <port>
Cisco Security Manager²	http <remote_ip_address> <remote_subnet_mask> <interface_name>
Clientless SSL VPN	webvpn
Clientless SSL VPN	enable <interface_name>
Cut-Through Proxy (Not vulnerable unless used in conjunction with other vulnerable features on the same port)	aaa authentication listener <interface_name> port <number>
Local Certificate Authority (CA)	crypto ca server
Local Certificate Authority (CA)	no shutdown
Mobile Device Manager (MDM) Proxy³	mdm-proxy
Mobile Device Manager (MDM) Proxy³	enable <interface_name>
Mobile User Security (MUS)	webvpn
	mus password <password>
	mus server enable port <port #>
	mus <address> <mask> <interface_name>
Proxy Bypass	webvpn
Proxy Bypass	proxy-bypass
REST API⁴	rest-api image disk0:/<image name>
REST API⁴	rest-api agent
Security Assertion Markup Language (SAML) Single Sign-On (SSO)⁵	N/A

1ASDM hanya rentan dari IP address di dalam konfigurasi http command range.

2 Cisco Security Manager hanya rentan dari IP address di dalam konfigurasi http command range.

3MDM Proxy pertama kali disupport oleh rilis 9.3.1.

4REST API pertama kali disupport oleh rilis 9.3.2. REST API hanya rentan dari IP address di dalam konfigurasi http command range.

5SAML SSO pertama kali disupport oleh rilis 9.6.

FTD Software

Pada tabel berikut, kolom kiri mencantumkan fitur Cisco FTD yang rentan. Kolom kanan menunjukkan konfigurasi yang rentan dari perintah CLI show running-config, jika bisa ditentukan.

Fitur	Konfigurasi yang rentan
HTTP Service enabled¹	http server enable <port #>
HTTP Service enabled¹	http <remote_ip_address> <remote_subnet_mask> <interface_name>
AnyConnect IKEv2 Remote Access (with client services)^2,3	crypto ikev2 enable <interface_name> client-services port <port #>
	webvpn
	anyconnect enable
AnyConnect IKEv2 Remote Access (without client services)^2,3	crypto ikev2 enable <interface_name>
	webvpn
	anyconnect enable
AnyConnect SSL VPN^2,3	webvpn
AnyConnect SSL VPN^2,3	enable <interface_name>

1 Fitur HTTP diaktifkan via Firepower Threat Defense Platform Settings > HTTP on the Firepower Management Console (FMC).

2 Fitur Remote Access VPN diaktifkan via Devices > VPN > Remote Access on the FMC or via Device > Remote Access VPN on the Firepower Device Manager (FDM).

3 Fitur Remote Access VPN disupport pertama pada rilis 6.2.2.

Solusi

Cisco telah merilis pembaruan perangkat lunak yang bertujuan mengatasi kerentanan dalam peringatan keamanan ini. Pelanggan hanya dapat menginstall dan mengharapkan dukungan untuk versi software dan set fitur yang telah mereka beli lisensinya.

Pelanggan harus memastikan bahwa perangkat yang akan diupgrade memiliki memori yang cukup dan memastikan bahwa konfigurasi perangkat keras dan lunak saat ini akan terus didukung oleh rilis terbaru. Apabila informasi tersebut kurang dipahami, pelanggan disarankan menghubungi Cisco Technical Assistance Center (TAC) atau penyedia perawatan masing-masing.

Cisco ASA Major Release	First Fixed Release
8.x	Affected; migrate to 9.1.7.23
9.0	Affected; migrate to 9.1.7.23
9.1	9.1.7.23
9.2	9.2.4.27
9.3	Affected; migrate to 9.4.4.16
9.4	9.4.4.16
9.5	Affected; migrate to 9.6.4.3
9.6	9.6.4.3
9.7	9.7.1.21
9.8	9.8.2.20
9.9	9.9.1.2

Perangkat lunak ini tersedia untuk diunduh dari Cisco Software Center dengan menavigasi ke Products > Security > Firewalls > Adaptive Security Appliances (ASA) > ASA 5500-X Series Firewalls dimana terdapat daftar platform perangkat ASA. Sebagian besar rilis perangkat lunak ini terdaftar di bawah Interim.

Cisco FTD Major Release	First Fixed Release
6.0.0	Affected; migrate to 6.0.1 HotFix or later
6.0.1	Cisco_FTD_Hotfix_BH-6.0.1.5-1.sh (All FTD hardware platforms except 41xx and 9300)
6.0.1	Cisco_FTD_SSP_Hotfix_BH-6.0.1.5-1.sh (41xx and 9300 FTD hardware platform)
6.1.0	Cisco_FTD_Hotfix_DZ-6.1.0.7-1.sh (All FTD hardware platforms except 41xx and 9300)
6.1.0	Cisco_FTD_SSP_Hotfix_DZ-6.1.0.7-1.sh (41xx and 9300 FTD hardware platform)
6.2.0	Cisco_FTD_Hotfix_BN-6.2.0.5-3.sh (All FTD hardware platforms except 41xx and 9300)
6.2.0	Cisco_FTD_SSP_Hotfix_BN-6.2.0.5-3.sh (41xx and 9300 FTD hardware platform)
6.2.1	Affected; migrate to 6.2.2 HotFix
6.2.2	Cisco_FTD_SSP_FP2K_Hotfix_AN-6.2.2.2-4.sh.REL.tar (21xx FTD hardware platform)
	Cisco_FTD_SSP_Hotfix_AO-6.2.2.2-1.sh.REL.tar (41xx and 9300 FTD hardware platforms)
	Cisco_FTD_Hotfix_AO-6.2.2.2-1.sh.REL.tar (All other FTD hardware platforms)
6.2.2 (Azure)	6.2.2-201

Perangkat lunak ini tersedia untuk diunduh dari Cisco Software Center dengan menavigasi ke Products > Security > Firewalls > Next-Generation Firewalls (NGFW) di mana terdapat daftar kemungkinan platform perangkat keras FTD.

Referensi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

https://threatpost.com/cisco-confirms-critical-firewall-software-bug-is-under-attack/129858/

[PERINGATAN KEAMANAN] Celah Keamanan VPN & Firewall Pada Sistem Cisco

Kategori Berita