Facebook Google Plus Twitter LinkedIn YouTube RSS Menü Suche Ressource – BlogRessource – WebinarRessource – BerichtRessource – Veranstaltungicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren
  • Twitter
  • Facebook
  • LinkedIn

CVE-2018-0296: Vulnerability in Cisco ASA and Firepower Appliances Sees Spike in Exploit Attempts

CVE-2018-0296: Vulnerability in Cisco ASA and Firepower Appliances Sees Spike in Exploit Attempts

The Cisco Adaptive Security Appliance and Firepower Appliance vulnerability patched over a year ago continues to be targeted by attackers in the wild, as exploitation attempts have increased in frequency over the past several weeks.

Background

On December 20, researchers at Cisco Talos published a blog post warning that a previously patched flaw in Cisco Adaptive Security Appliance (ASA) and Firepower Appliance has seen “a sudden spike in exploitation attempts.”

Analyse

CVE-2018-0296 is an improper input validation vulnerability in the ASA web interface. An unauthenticated, remote attacker could exploit this flaw by sending a specially crafted HTTP request to a vulnerable ASA or Firepower device. This results in unexpected reloads of the device, causing a denial of service (DoS) condition. However, in certain software versions of the ASA or Firepower Threat Defense (FTD), a reload will not occur, but an attacker could view sensitive information by sending a specially crafted HTTP request containing directory traversal sequences.

The vulnerability was originally patched on June 6, 2018, after it was disclosed by security researcher Michal Bentkowski of Securitum, who published a blog post detailing his findings soon after. Roughly translated, Bentkowski noted the following in his post, “The error was reported to Cisco just on the example as above, i.e. the possibility of obtaining information about logged in users.” This differed from Cisco’s public description of the vulnerability, which focused on DoS and mentioned the possibility of directory traversal in some instances, the latter potentially related to Bentkowski’s findings. Cisco updated the advisory for the flaw on June 22, 2018, announcing they had observed public exploitation of the vulnerability.

In March 2019, Cisco updated the advisory once again, and in April 2019, the vulnerability was identified as one of the flaws used in a DNS hijacking campaign called Sea Turtle.

Cisco issued a final update to their advisory on September 24, 2019, elevating the vulnerability to critical after observing more exploitation attempts.

Proof of concept

The first proof of concept (PoC) for the vulnerability was published to GitHub on June 21, 2018, and was regularly updated, accepting pull requests all the way up until March 2019. The repository has not been updated since June 2019.

There have been other PoCs for CVE-2018-0296 published to GitHub, including an exploit script to enumerate usernames from vulnerable devices and another exploit script called the Cisco Pillager.

Lösung

As previously mentioned, the vulnerability was patched back in June 2018. The following devices running Cisco ASA or FTD software are potentially vulnerable:

Device Status
Cisco Industrial Security Appliance 3000 (ISA) Supported
Cisco ASA 1000V Cloud Firewall End-of-Life
Cisco ASA 5500 Series Adaptive Security Appliances Supported
Cisco ASA 5500-X Series Next-Generation Firewalls Supported
Cisco Catalyst 6500 Series Switches ASA Services Module Supported
Cisco 7600 Series Routers ASA Services Module End of Life
Cisco Adaptive Security Virtual Appliance (ASAv) Supported
Cisco Firepower 2100 Series Security Appliance Supported
Cisco Firepower 4100 Series Security Appliance Supported
Cisco Firepower 9300 Security Appliance Supported
Cisco Firepower Threat Defense Virtual (FTDv) Supported

The devices may be vulnerable depending on the ASA or FTD software features and configuration. For a detailed breakdown of the features and configurations, please refer to the affected products section under Cisco’s advisory.

Identifizieren betroffener Systeme

A list of Tenable plugins to identify this vulnerability can be found here.

Weitere Informationen

Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.

Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.

Testen Sie Tenable.io Vulnerability Management 30 Tage kostenlos.

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

Kostenlos testen Jetzt kaufen
Tenable.io 30 TAGE KOSTENLOS TESTEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Unser Tipp: Mit einer mehrjährigen Lizenz Geld sparen. Und mit dem Advanced Support-Upgrade steht Ihnen der Support rund um die Uhr, 365 Tage im Jahr zur Verfügung – telefonisch, per Chat und über die Community. Weitere Informationen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.