[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0055
2016年8月15日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開販售及釋出多款網路攻擊工具,影響Cisco與Fortinet等多款防火牆設備,部分漏洞允許攻擊者以管理者權限進行遠端存取或執行任意程式碼,漏洞說明如下:
1. Cisco
Cisco Adaptive Security Appliances(ASA)軟體是美國Cisco公司所開發的一套運行在防火牆中的操作系統,目前已知受影響的相關漏洞編號為CVE-2016-6366與CVE-2016-6367。
(1) CVE-2016-6366漏洞
主要是ASA軟體在9.4.2.3(含)之前版本的SNMP程式碼存在緩衝區溢位漏洞(Buffer overflow),當遠端攻擊者發送特製的SNMP封包到受影響的系統上,就能造成重載(Reload)作業系統或遠端執行任意程式碼,甚至取得系統的控制權限。
(2) CVE-2016-6367漏洞
ASA軟體8.4(1)之前版本的Command-line Interface(CLI)語法分析器(Parser)存在安全漏洞,該漏洞可讓本地端未經身分驗證的攻擊者在受影響的設備上,調用(Invoking)某些特定無效的命令造成阻斷服務攻擊(DoS),或是執行任意程式碼。
2. Fortinet
FortiGate防火牆是美國Fortinet公司生產的防火牆設備,FortiGate韌體版本為4.3.8、4.2.12、4.1.10(含)之前的防火牆設備存在緩衝區溢位漏洞(Buffer overflow),當攻擊者發送特製的HTTP封包請求時,由於程式未能對攻擊者輸入的內容長度執行正確的檢查,造成攻擊者可利用此漏洞以管理者權限進行遠端存取或執行任意程式碼。
請檢視防火牆設備是否採用受影響之軟體或韌體版本,並儘速更新至最新版本。
[影響平台:]
1.Cisco已知受影響ASA軟體版本:
(1)ASA 8.7(含)版以下。
(2)ASA 9.4.2.3(含)版以下。
Cisco已知受影響設備如下:
(3)Cisco ASA 5500 Series Adaptive Security Appliances。
(4)Cisco ASA 5500-X Series Next-Generation Firewalls。
(5)Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers。
(6)Cisco ASA 1000V Cloud Firewall。
(7)Cisco Adaptive Security Virtual Appliance (ASAv) 。
(8)Cisco Firepower 4100 Series。
(9)Cisco Firepower 9300 ASA Security Module。
(10)Cisco Firepower Threat Defense Software。
(11)Cisco Firewall Services Module (FWSM)。
(12)Cisco Industrial Security Appliance 3000。
(13)Cisco PIX Firewalls。
2.FortiGate已知受影響韌體版本如下:
(1)FortiGate 4.3.8(含)版以下。
(2)FortiGate 4.2.12(含)版以下。
(3)FortiGate 4.1.10(含)版以下。
[建議措施:]
請聯絡設備維護廠商或原廠確認防火牆設備所採用之ASA版本或FortiGate韌體版本,若使用版本為受影響之ASA版本或FortiGate韌體版本,則請參考以下建議修復資訊:
1.針對漏洞為CVE-2016-6366之漏洞:
(1)ASA 8.7(含)之前版本,請更新至9.1.7(9)或更高的版本。
(2)ASA 9.0版本,請更新至9.0.4(40)版本。
(3)ASA 9.1版本,請更新至9.1.7(9)版本。
(4)ASA 9.2版本,請更新至9.2.4(14)版本。
(5)ASA 9.3版本,請更新至9.3.3(10)版本。
(6)ASA 9.4版本,請更新至9.4.3(8)版本。
2.針對漏洞為CVE-2016-6367之漏洞
(1)ASA 8.4(含)之前的版本,請更新至8.4(3)或更高的版本。
(2)ASA 8.5~9.0(含)之間的版本,請更新至9.0(1)或更高的版本。
3.針對FortiGate韌體為4.3.8、4.2.12、4.1.10(含)之前的版本,則請更新至5.x版本,若設備無法相容5.x版本,請至少升級至4.3.9(含)以上的版本。
4.其它建議事項:
(1)其餘未列在上述修復資訊之ASA版本,請密切注意Cisco官方網頁
(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
與
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli)之更新資訊。
(2)Cisco Firewall Services Module (FWSM)與Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。
[參考資料:]
1. http://fortiguard.com/advisory/FG-IR-16-023
2. http://thehackernews.com/2016/08/nsa-hack-exploit.html
3. http://thehackernews.com/2016/08/nsa-hack-russia-leak.html
4. https://cxsecurity.com/cveshow/CVE-2016-6366/
5. http://www.ithome.com.tw/news/107916
6. http://www.ithome.com.tw/news/107826
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它