BDU:2022-03748: Уязвимость функции проверки образов Cisco Adaptive Security Device Manager (ASDM) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA), позволяющая нарушителю выполнить произвольный код

Описание уязвимости

Уязвимость функции проверки образов Cisco Adaptive Security Device Manager (ASDM) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA) связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, путем загрузки специально сформированного ASDM-образа

Вендор

Cisco Systems Inc.

Наименование ПО

Adaptive Security Appliance, Adaptive Security Device Manager (ASDM)

Версия ПО

  • до 9.18.2 (Adaptive Security Appliance)
  • до 7.18.1.150 (Adaptive Security Device Manager (ASDM))

Тип ПО

ПО сетевого программно-аппаратного средства, Средство защиты, Программное средство защиты

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Недостаточная проверка подлинности данных

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

22.06.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование учетных записей пользователей с минимально необходимым уровнем привилегий;
- ограничение доступа к интерфейсу управления по протоколу HTTPS.
Для определения состояния доступа к интерфейсу управления по протоколу HTTPS необходимо ввести CLI-команду:
show running-config http
Вывод по результатам работы команды:
http server enable
http 0.0.0.0 0.0.0.0 inside
Доступ к управлению по протоколу HTTPS отключен, если:
отсутствует строка «http server enable»
вывод команды не включает в себя список управления доступа.

Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-asdm-sig-NPKvwDjm

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения