Cisco ASA bis 8.4 Command Line Interface EpicBanana/JetPlow erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Cisco ASA bis 8.4 ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Command Line Interface. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle (EpicBanana/JetPlow) ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2016-6367 vorgenommen. Der Angriff muss auf lokaler Ebene erfolgen. Ferner existiert ein Exploit. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In Cisco ASA bis 8.4 (Firewall Software) wurde eine kritische Schwachstelle gefunden. Betroffen ist ein unbekannter Teil der Komponente Command Line Interface. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (EpicBanana/JetPlow) ausgenutzt werden. CWE definiert das Problem als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Cisco Adaptive Security Appliance (ASA) Software before 8.4(1) on ASA 5500, ASA 5500-X, PIX, and FWSM devices allows local users to gain privileges via invalid CLI commands, aka Bug ID CSCtu74257 or EPICBANANA.Die Schwachstelle wurde am 17.08.2016 von Shadow Brokers als cisco-sa-20160817-asa-cli / CSCtu74257 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von tools.cisco.com heruntergeladen werden. Im Advisory ist nachzulesen:
On August 15, 2016, Cisco was alerted to information posted online by the Shadow Brokers group, which claimed to possess disclosures from the Equation Group. The posted materials included exploits for firewall products from multiple vendors. The Cisco products mentioned were the PIX and ASA firewalls.Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-6367 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 25.09.2024). Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Der Exploit kann von exploit-db.com heruntergeladen werden. Er wird als attackiert gehandelt. Insgesamt 2 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 93347 (Cisco ASA Software CLI Invalid Command Invocation (cisco-sa-20160817-asa-cli) (EPICBANANA)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CISCO zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 316026 (Cisco ASA CLI Remote Code Execution Vulnerability (cisco-sa-20160817-asa-cli) - Shadow Brokers (EPICBANANA, JETPLOW)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 8.4(1) vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (40271), Zero-Day.cz (268), Tenable (93347) und SecurityTracker (ID 1036636†) dokumentiert. Die Einträge VDB-90834 und VDB-90833 sind sehr ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.8VulDB Meta Temp Score: 7.6
VulDB Base Score: 7.8
VulDB Temp Score: 7.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: EpicBanana/JetPlowKlasse: Erweiterte Rechte / EpicBanana/JetPlow
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 93347
Nessus Name: Cisco ASA Software CLI Invalid Command Invocation (cisco-sa-20160817-asa-cli) (EPICBANANA)
Nessus Datei: 🔍
Nessus Family: 🔍
OpenVAS ID: 800316
OpenVAS Name: Cisco Adaptive Security Appliance CLI Remote Code Execution Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ASA 8.4(1)
Timeline
26.07.2016 🔍15.08.2016 🔍
17.08.2016 🔍
17.08.2016 🔍
18.08.2016 🔍
18.08.2016 🔍
25.09.2024 🔍
Quellen
Hersteller: cisco.comAdvisory: cisco-sa-20160817-asa-cli / CSCtu74257
Firma: Shadow Brokers
Status: Bestätigt
CVE: CVE-2016-6367 (🔍)
GCVE (CVE): GCVE-0-2016-6367
GCVE (VulDB): GCVE-100-90832
SecurityFocus: 92520
SecurityTracker: 1036636 - Cisco ASA Command Line Interface Bug Lets Local Users Deny Service and Gain Elevated Privileges
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 18.08.2016 10:27Aktualisierung: 25.09.2024 03:09
Anpassungen: 18.08.2016 10:27 (55), 14.07.2017 10:09 (20), 14.09.2022 07:28 (4), 14.09.2022 07:34 (10), 26.04.2024 11:59 (28), 03.07.2024 00:47 (1), 07.07.2024 14:14 (2), 09.09.2024 22:30 (1), 25.09.2024 03:09 (2)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.