Компания Cisco закрыла 19 уязвимостей в программном обеспечении для межсетевых экранов Adaptive Security Appliance (ASA) и Firepower. Все баги имеют высокую степень опасности и получили от 7,2 до 8,8 балла по шкале CVSS. Обновленные версии прошивок доступны клиентам компании по стандартным каналам сопровождения.

Наибольшую опасность представляют две проблемы в веб-интерфейсе системы управления Firepower Management Center (FMC), вызванные неадекватностью проверки входных данных.

В одном случае некорректная работа механизма проверки позволяет злоумышленнику внедрить свой SQL-код в запрос и просматривать закрытые для него данные или выполнять команды, способные негативно повлиять на работоспособность устройства. Вторая проблема UI FMC открывает возможность для удаленного выполнения стороннего кода в системе через передачу вредоносных данных.

Команда внутреннего тестирования продуктов Cisco суммарно зарегистрировала десять CVE, связанных с этими недочетами. Все они получили по 8,8 балла по шкале CVSS. Еще две похожие уязвимости в UI FMC — CVE-2019-12689 и CVE-2019-12690 — были оценены в 7,5 и 7,2 балла соответственно.

В прошивке ASA и ПО Firepower Threat Defence (FTD) были найдены несколько багов, позволяющих вызвать состояние отказа в обслуживании. Все они возникли из-за некорректной реализации того или иного протокола обмена данными, а именно:

В функции разделения потоков FTD обнаружены также множественные ошибки, которые могут привести к несанкционированному выполнению команд на хост-машине с root-привилегиями. Баг CVE-2019-12674, получивший оценку 8,2 балла CVSS, появился из-за неадекватной защиты файловой системы. В итоге у злоумышленников появилась возможность изменить критически важные файлы и выйти за пределы контейнера рабочего экземпляра FTD.

В ПО брандмауэров ASA и Firepower уже находили серьезные уязвимости. В ноябре прошлого года ИБ-специалисты обнаружили 0-day баг, связанный с неправильной обработкой SIP-пакетов. Результатом атаки мог стать отказ в обслуживании или принудительная перезагрузка устройства.

Категории: Уязвимости