Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Cisco ASA IKEv1/v2 취약점 대규모 스캐닝 공격 탐지
작성일 2016-02-15 조회 3354

[개요]

2016년 1월 중순부터 현재까지 대규모의 취약점 스캐닝 공격이 발생하고 있습니다.

그림 1 . 출처 (https://isc.sans.edu/)

 

 

[취약점 분석]

해당 취약점(CVE-2016-1287)은 Cisco ASA Software 의 Internet Key Exchange (IKE) version 1 (v1) 와 IKE version 2 (v2) 코드에 인증받지 않은 사용자의 접근이 허용되면서 발생하는 취약점으로 원격의 공격자는 시스템에 영향을 미치는 임의의 원격 코드 실행이 가능합니다.

그림 2 . 출처 (http://blog.exodusintel.com/2016/02/10/firewall-hacking/)

 

Fragment된 IKE(payload type 132) 패킷은 ikev_add_rcv_frag()와 ikev_reassemble_pkt() 함수에 의해 처리 되는데 이 과정에서 조작된 fragment length를 공격자가 발생시켜 함수의 연산 오작동을 통해 Buffer over Flow가 발생하게 되고 이로 인해 임의의 코드 실행이 가능해집니다.

 

[취약점 영향 받는 제품]

- Cisco ASA 5500 Series Adaptive Security Appliances

- Cisco ASA 5500-X Series Next-Generation Firewalls

- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

- Cisco ASA 1000V Cloud Firewall

- Cisco Adaptive Security Virtual Appliance (ASAv)

- Cisco Firepower 9300 ASA Security Module

- Cisco ISA 3000 Industrial Security Appliance

 

* Internet Key Exchange (IKE) version 1 (v1) 와 IKE version 2 (v2) VPN Connections 설정을 terminate한 경우 다음과 같은 제품에도 영향을 줄 수 있습니다.

- LAN-to-LAN IPsec VPN

- Remote access VPN using the IPsec VPN client

- Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections

- IKEv2 AnyConnect

 

[대응방안]

Cisco에서는 아래의 링크를 통해 Software Updates 버전을 제공하고 있습니다.

(http://tools.cisco.com/security/center/content/

CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike)

 

- 취약점 점검 방법

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside

(취약한 시스템은 최소한 하나 이상의 crypto map을 리턴)

Internet Key Exchange (IKE) version 1 (v1) 와 IKE version 2 (v2) VPN Connections 설정 여부는 아래와 같은 command를 통해서 확인이 가능하며, 적어도 하나 이상의 crypto map이 구성되어 있을 경우 취약할 수 있습니다.

 

- 탐지 방안

[공격 양상]

500/UDP를 통해 fragment된 패킷을 Size를 공격자가 조작하여 대역별 스캐닝 실시

 

[취약점 스캐닝 공격 관련 Sniper IPS 탐지 패턴]

UDP Port Scan [0007]

 

TCP/UDP를 통해 전송되는 VPN Key Exchange Packet IKEv2와 IKEv1를 통해 취약점 스캐닝이 가능합니다. 각 사이트에서는 유입되는 IKEv2, IKEv1 패킷의 Fragment Payload length field의 값을 체크하여 value<8인 경우 공격으로 의심할 수 있습니다.

 

 

[참조]

https://isc.sans.edu/forums/diary/Critical+Cisco+ASA+IKEv1v2+Vulnerability+Active+Scanning+Detected/20719/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

http://blog.exodusintel.com/2016/02/10/firewall-hacking/

http://doc.emergingthreats.net/bin/view/Main/2022515

첨부파일 첨부파일이 없습니다.
태그 CVE-2016-1287  Cisco ASA IKEv1/v2 취약점  Cisco  Scanning