Cisco ASA bis 8.4 Command Line Interface EpicBanana/JetPlow erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

In Cisco ASA bis 8.4 (Firewall Software) wurde eine kritische Schwachstelle gefunden. Betroffen ist ein unbekannter Teil der Komponente Command Line Interface. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (EpicBanana/JetPlow) ausgenutzt werden. CWE definiert das Problem als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Cisco Adaptive Security Appliance (ASA) Software before 8.4(1) on ASA 5500, ASA 5500-X, PIX, and FWSM devices allows local users to gain privileges via invalid CLI commands, aka Bug ID CSCtu74257 or EPICBANANA.

Die Schwachstelle wurde am 17.08.2016 von Shadow Brokers als cisco-sa-20160817-asa-cli / CSCtu74257 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von tools.cisco.com heruntergeladen werden. Im Advisory ist nachzulesen:

On August 15, 2016, Cisco was alerted to information posted online by the Shadow Brokers group, which claimed to possess disclosures from the Equation Group. The posted materials included exploits for firewall products from multiple vendors. The Cisco products mentioned were the PIX and ASA firewalls.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-6367 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 14.07.2017). Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant.

Er wird als proof-of-concept gehandelt. Der Exploit kann von exploit-db.com heruntergeladen werden. Insgesamt 2 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 93347 (Cisco ASA Software CLI Invalid Command Invocation (cisco-sa-20160817-asa-cli) (EPICBANANA)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CISCO zugeordnet.

Ein Upgrade auf die Version 8.4(1) vermag dieses Problem zu beheben.

Mitunter wird der Fehler auch in den Datenbanken von SecurityTracker (ID 1036636), Tenable (93347) und Exploit-DB (40271) dokumentiert. Die Einträge 90834 und 90833 sind sehr ähnlich.

Produktinfoanpassen

Typ

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 7.8
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.8
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoanpassen

Name: EpicBanana/JetPlow
Klasse: Erweiterte Rechte / EpicBanana/JetPlow
CWE: CWE-269
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 93347
Nessus Name: Cisco ASA Software CLI Invalid Command Invocation (cisco-sa-20160817-asa-cli) (EPICBANANA)
Nessus Datei: 🔍
Nessus Family: 🔍

OpenVAS ID: 800316
OpenVAS Name: Cisco Adaptive Security Appliance CLI Remote Code Execution Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: ASA 8.4(1)

Timelineinfoanpassen

15.08.2016 🔍
17.08.2016 +2 Tage 🔍
17.08.2016 +0 Tage 🔍
18.08.2016 +1 Tage 🔍
18.08.2016 +0 Tage 🔍
14.07.2017 +330 Tage 🔍

Quelleninfoanpassen

Hersteller: https://www.cisco.com/

Advisory: cisco-sa-20160817-asa-cli / CSCtu74257
Firma: Shadow Brokers
Status: Bestätigt

CVE: CVE-2016-6367 (🔍)
SecurityTracker: 1036636 - Cisco ASA Command Line Interface Bug Lets Local Users Deny Service and Gain Elevated Privileges

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfoanpassen

Erstellt: 18.08.2016 10:27
Aktualisierung: 14.07.2017 10:09
Anpassungen: (20) software_type vulnerability_cwe vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_nvd_published source_cve_nvd_summary source_sectracker_date source_sectracker_title source_sectracker_cause source_nessus_name source_nessus_filename source_nessus_family source_openvas_id source_openvas_filename source_openvas_title source_openvas_family
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: . Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!