CLI-эксплоит EPICBANANA для Cisco - лекарство и проверка на будущее

CLI-эксплоит EPICBANANA для Cisco - лекарство и проверка на будущее
В той же статье цискиного блога , где рассказывается об SNMP-эксплоите EXTRABACON, есть разъяснения на тему эксплоита EPICBANANA, который исполняется через CLI.
Список уязвимых устройств гораздо меньший : ASA серий 5500 и 5500-X, PIX и FWSM.
Суть уязвимости заключается в возможности вызвать отказ в обслуживании устройства либо исполнить произвольный код посредством отправки нескольких неправильных команд на скомпрометированное устройство. Но для этого хакер должен:
  • Знать IP-адрес интерфейса, на который разрешен управляющий доступ по telnet либо SSH.
  • Знать логин-пароль к устройству. 
  • Подключиться с разрешенного в конфигурации IP-адреса для управления.
Конечно, ситуация довольно предусматриваемая и не требующая сверхусилий для защиты, но, все же, баг есть баг.
name='more'> В отличие от SNMPшного EXTRABACON , признанного новым, циска утверждает, что EPICBANANA эксплуатирует уязвимость, описаную еще в 2011 году. Уязвимость зарегистрирована в этом году под CVE-2016-6367 исключительно с целью взбодрить народ для обновления софта. Соответственно, лекарство в виде ПО, в котором уязвимость устранена, уже существует. Нужно только скачать и обновить. А перед этим, естественно, заплатить.


Дают такую табличку уязвимых/неуязвимых версий:

Cisco ASA Major Release First Fixed Release
7.2 Affected, migrate to 8.4(3) or later
8.0 Affected, migrate to 8.4(3) or later
8.1 Affected, migrate to 8.4(3) or later
8.2 Affected, migrate to 8.4(3) or later
8.3 Affected, migrate to 8.4(3) or later
8.4 8.4(3)
8.5 Affected, migrate to 9.0(1) or later
8.6 Affected, migrate to 9.0(1) or later
8.7 Affected, migrate to 9.0(1) or later
9.0 9.0(1)
9.1 Not affected
9.2 Not affected
9.3 Not affected
9.4 Not affected
9.5 Not affected
9.6 Not affected

Честно говоря, я попробовал найти описанный баг в списке Resolved Caveats in Version 8.4(3) , но не получилось. То ли описание под мой ассоциативный ряд не попадает, то ли пропустил, то ли оно и не объявлялось. 

Проверка на будущее
Конечно, учитывая то, что софту уже 5 лет, думаю, все firewall им. Cisco, стоящие в продуктиве, уже обновились. Исключение составляют ярые адепты принципа "не ломалось - не чини".
Но на всякий случай даже самым неуязвимым стоит проверить настройки защиты управляющих интерфейсов своих firewall. 

Делается это довольно просто:

# show run ssh
ssh 192.0.2.0 255.255.255.0 mgmt
# show run telnet
telnet 192.0.2.0 255.255.255.0 mgmt

Из вывода команд видим, что хостам из подсети 192.0.2.0/24 разрешено управлять ASA через интерфейс mgmt с использованием протоколов telnet и ssh. Если это подсеть админов сети или систем управления сетью и терминальных серверов, то нормально, если же там живут все пользователи корпоративной сети - предстоит задуматься над сужением круга приближенных к firewall людей. 
Но все равно стоит озаботиться тем, чтобы логины-пароли на ASA были не admin/admin или cisco/cisco, а:
  • персональные;
  • комплексные;
  • централизованно управляемые;
  • вход-выход пишется;
  • локальные аварийные учетные записи должны использоваться только в случае недоступности серверов аутентификации (RADIUS/TACACS+).
Проверяем, настроены ли сервера аутентификации и авторизации:

# sh run aaa-server
aaa-server TACACS protocol tacacs+
 accounting-mode simultaneous
aaa-server TACACS (mgmt) host 198.51.100.1
 timeout 5
 key *****

aaa-server TACACS (mgmt) host 198.51.100.129
 timeout 5
 key *
****

вывод команды говорит, что в группе TACACS есть 2 TACACS+-сервера: 198.51.100.1 и 198.51.100.129, топологически расположенные со стороны интерфейса mgmt.

Теперь проверяем настройки собственно аутентификации, авторизации и аудита. Важно, чтобы порядок серверов был указан сначала настроенная ААА-группа (TACACS), потом локально:

# sh run aaa
aaa authentication enable console TACACS LOCAL
!  порядок enable-аутентификации: TACACS, потом локально
aaa authentication http console TACACS LOCAL
! порядок аутентификации через ASDM: TACACS, потом локально
aaa authentication ssh console TACACS LOCAL

! порядок аутентификации по SSH: TACACS, потом локально
aaa authentication telnet console TACACS LOCAL

! порядок аутентификации по telnet: TACACS, потом локально
aaa authorization command TACACS LOCAL

! авторизация на выполнение команд: через TACACS, потом локально
aaa accounting enable console TACACS

! аудит входа-выхода в EXEC-режим на TACACS
aaa accounting ssh console TACACS

! аудит начала-конца ssh-сессий на TACACS
aaa accounting telnet console TACACS

! аудит начала-конца telnet-сессий на TACACS
aaa accounting command TACACS

! аудит всех введенных команд на TACACS


Если вывод команд:

show run telnet
show run ssh
show run aaa-server 
show run aaa 

покажет похожую картину, то можно быть более-менее спокойным относительно уязвимости своей ASA к "бесплатной версии" EPICBANANA. Если, конечно, ПО обновлено до необходимой версии и настройки учетных записей на ACS не admin/admin или cisco/cisco. 

ЗЫ. Ну и опять, спасибо Максиму Зимовцу из Cisco за оперативный анализ степени ужасности эксплоитов, а алфавитам двух языков - за любезно предоставленные буквы.
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed