Cisco ASA SNMP Service IPv4 Packet Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.6$0-$5k0.00

Eine kritische Schwachstelle wurde in Cisco ASA - eine genaue Versionsangabe steht aus - (Firewall Software) gefunden. Betroffen davon ist ein unbekannter Codeteil der Komponente SNMP Service. Mittels Manipulieren durch IPv4 Packet kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 17.08.2016 durch Cisco von Shadow Brokers als cisco-sa-20160817-asa-snmp / CSCva92151 in Form eines bestätigten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter tools.cisco.com. Im Advisory ist nachzulesen:

On August 15, 2016, Cisco was alerted to information posted online by the Shadow Brokers group, which claimed to possess disclosures from the Equation Group. The posted materials included exploits for firewall products from multiple vendors. The Cisco products mentioned were the Cisco PIX and Cisco ASA firewalls.
Die Verwundbarkeit wird seit dem 26.07.2016 mit der eindeutigen Identifikation CVE-2016-6366 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 14.09.2022). Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann. Das Advisory weist darauf hin:
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted SNMP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system. The attacker must know the SNMP community string to exploit this vulnerability.

Der Exploit wird unter exploit-db.com bereitgestellt. Er wird als hoch funktional gehandelt. Es dauerte mindestens 2 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 25.08.2016 ein Plugin mit der ID 93113 (Cisco ASA SNMP Packet Handling RCE (CSCva92151) (EXTRABACON)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CISCO zugeordnet und im Kontext l ausgeführt. Das Advisory zeigt auf:

Only traffic directed to the affected system can be used to exploit this vulnerability. This vulnerability affects systems configured in routed and transparent firewall mode only and in single or multiple context mode. This vulnerability can be triggered by IPv4 traffic only.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat so unmittelbar gehandelt. Das Advisory stellt fest:

Administrators are advised to allow only trusted users to have SNMP access and to monitor affected systems using the snmp-server host command. The SNMP chapter of the Cisco ASA Series General Operations CLI Configuration Guide explains how SNMP is configured in the Cisco ASA.
Angriffe können durch Snort ID 39885 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (93113) und Exploit-DB (40258) dokumentiert. Unter isc.sans.edu werden zusätzliche Informationen bereitgestellt. Die Schwachstellen 90834 und 90832 sind ähnlich.

Produktinfo

Typ

Hersteller

Name

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 8.6

VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 93113
Nessus Name: Cisco ASA SNMP Packet Handling RCE (CSCva92151) (EXTRABACON)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 57906
OpenVAS Name: Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

MetaSploit ID: cisco_asa_extrabacon.rb
MetaSploit Name: Cisco ASA Authentication Bypass (EXTRABACON)
MetaSploit Datei: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Snort ID: 39885

Suricata ID: 2023086
Suricata Klasse: 🔍
Suricata Message: 🔍

Timelineinfo

26.07.2016 🔍
15.08.2016 +20 Tage 🔍
17.08.2016 +2 Tage 🔍
17.08.2016 +0 Tage 🔍
17.08.2016 +0 Tage 🔍
17.08.2016 +0 Tage 🔍
18.08.2016 +1 Tage 🔍
18.08.2016 +0 Tage 🔍
25.08.2016 +7 Tage 🔍
14.09.2022 +2211 Tage 🔍

Quelleninfo

Hersteller: cisco.com

Advisory: cisco-sa-20160817-asa-snmp / CSCva92151
Person: Cisco
Firma: Shadow Brokers
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2016-6366 (🔍)
SecurityTracker: 1036637
SecurityFocus: 92521 - Cisco Adaptive Security Appliance Products CVE-2016-6366 Buffer Overflow Vulnerability

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 18.08.2016 10:30
Aktualisierung: 14.09.2022 07:39
Anpassungen: 18.08.2016 10:30 (89), 01.04.2019 10:33 (14), 14.09.2022 07:39 (4)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!