Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Cisco ASA 원격 코드 실행 및 서비스 거부 취약점 [CVE-2018-0101]
작성일 2018-02-12 조회 3329

 

 

 

지난 주, Halbronn은 브뤼셀의 REcon 컨퍼런스에서 'Robin Hood vs CISCO ASA Anyconnect'를 통해 Cisco ASA 취약점이 발표되었습니다. 해당 취약점은 2011년 이후부처 현재까지 패치 되지 않은 상태로 존재해 최대 7년동안 0-day 상태로 있었다고 합니다.


공격 시나리오는 악의적으로 조작된 XML 패킷을 WebVPN 구성 인터페이스로 보내 공격자가 취약점을 이용하는 것으로 발표되었습니다.

 

[그림 1.] 공격자의 취약점 이용 개요도

 

본 취약점의 POC는 이미 일부 사용자가 Pastebin에 게시했습니다.
(https://pastebin.com/YrBcG2Ln)

 

 

 

취약 시스템

Cisco Systems Adaptive Security Appliance (ASA) 9.8 prior to 9.8.2.20
Cisco Systems Adaptive Security Appliance (ASA) 9.7 prior to 9.7.1.21
Cisco Systems Adaptive Security Appliance (ASA) 9.6 prior to 9.6.4.3
Cisco Systems Adaptive Security Appliance (ASA) 9.4 prior to 9.4.4.16
Cisco Systems Adaptive Security Appliance (ASA) 9.2 prior to 9.2.4.27
Cisco Systems Adaptive Security Appliance (ASA) 9.1 prior to 9.1.7.23
Cisco Systems Adaptive Security Appliance (ASA) 9.9 prior to 9.9.1.2
Cisco Systems Adaptive Security Appliance (ASA) 9.5
Cisco Systems Adaptive Security Appliance (ASA) 9.3
Cisco Systems Adaptive Security Appliance (ASA) 9.0
Cisco Systems Adaptive Security Appliance (ASA) 8.x

 

 


공격 시나리오

영향을받는 장치가 취약 해지기 위해서는 인터페이스에서 SSL (Secure Socket Layer) 서비스 또는 IKEv2 원격 액세스 VPN 서비스를 사용할 수 있어야합니다.

 

► Cisco ASA 취약 설정 확인

(1) 다음과 같이 show asp table socket 명령을 사용하여 모든 TCP 포트에서 SSL 또는 DTLS 청취 소켓을 찾을 수 있습니다.


[그림 2.] show asp table socket (https://blogs.cisco.com/security/cve-2018-0101)

 

(2) IKEv2 구성도 영향을받습니다. show run crypto ikev2 |를 사용할 수 있습니다. grep enable 명령을 사용하여 아래와 같이 장치에서 IKEv2가 활성화되어 있는지 평가합니다.

[그림 3.] show run crypto ikev2 (https://blogs.cisco.com/security/cve-2018-0101)

 

(3) crypto ikev2 enable과 같은 명령이 실행중인 구성에 있고 anyconnect enable 명령이 webvpn구성의 일부인 경우 ASA 장치도 취약한 것으로 간주됩니다.


[그림 4.] anyconnect enable (https://blogs.cisco.com/security/cve-2018-0101)

 

공격자가이 취약점을 악용하려면 공격 권고 패킷을 IKEv2 또는 보안 권고(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1)에 설명 된 영향을받는 기능이있는 인터페이스에서 수신해야합니다.


► 취약점 분석

 

[그림 5.] 취약점 발생 개요도 (https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robin-hood-vs-cisco-asa.pdf)

 

1. 공격자에 의해 조작된 XML이 Cicso ASA XML Parser에서 분석
2. 힙버퍼에 할당
2. 데이타 복사
3. 메모리 Free 할당 해제
4. 힙버퍼에 할당되지 않은채로 데이타 복사
5. 메모리 Free 할당 해제
6. 카피 데이타의 메모리 주소와 추가된 데이타 메모리 주소가 같아 Double-Free vulnerability on 0x2040-bye chunk 발생

 

[그림 6.] 취약점 발생 상세 (https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robin-hood-vs-cisco-asa.pdf)

 

 

 

벤더사 취약점 대응방안
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html#ssu

 

 


Sniper 제품군 대응 방안

[Sniper-IPS]

[4075] Cisco ASA XML Parser Double Free
[4076] Cisco ASA XML Parser Double Free.A

[Sniper-UTM]

[805374433] Cisco ASA XML Parser Double Free
[805374434] Cisco ASA XML Parser Double Free.A

[Sniper-APTX]

[3306] Cisco ASA XML Parser Double Free
[3307] Cisco ASA XML Parser Double Free.A

 

 

 

참조 페이지
https://blogs.cisco.com/security/cve-2018-0101
https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robin-hood-vs-cisco-asa.pdf
https://pastebin.com/YrBcG2Ln
https://gist.github.com/fox-srt/09401dfdfc15652b22956b9cc59f71cb
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

첨부파일 첨부파일이 없습니다.
태그   Cisco ASA