Concretamente son los módulos FirePOWER y Context Aware los que poseen el problema y que provocan que el atacante pueda reiniciar el equipo, provocando que este entre en condición de denegación de servicio. Desde el fabricante han publicado qué equipos Cisco ASA son vulnerables a este ataque.
Estos módulos se encuentran implementados en el sistema operativo que permite manejar estos dispositivos y permite al usuario disponer de una protección avanzada frente a diferentes tipos de ataques. Los equipos que en un principio se encuentran afectados por este problema con los Cisco ASA 5500-X, unos firewall que poseen una configuración y gestión avanzada. El segundo de los módulos afectados por el problema (Context Aware) permite de alguna forma el etiquetado del tráfico, facilitando de esta forma el control del tráfico de red.
Este fallo de seguridad, etiquetado como CVE-2015-0678, se puede explotar realizando una transferencia de paquetes superior a la habitual, permitiendo una saturación del buffer manejado por estos dos módulos y por lo tanto hacer que el equipo se reinicie constantemente, provocando que este entre en una condición de denegación de servicio.
El fabricante ya ha puesto a disposición de los usuarios de los servicios afectados una actualización del firmware que resuelve el problema de ambos módulos.
Tres fallos de seguridad adicionales afectan a algunos modelos de Cisco ASA
Aunque este ha sido reportado por expertos en seguridad al fabricante, este ha confirmado que se encontraban trabajando en la resolución de tres vulnerabilidades más. catalogadas como CVE-2015-0675, CVE-2015-0676 y CVE-2015-0677.
El primero de estos tres fallos de seguridad hace referencia a obtener el control de un dispositivo ASA gracias al envío de un paquete uDP a la interfaz apropiada, siempre y cuando el dispositivo se encuentre suspendido por falta de actividad. Puedes ver qué son los ataques DrDoS.
El segundo permite que el atacante provoque inestabilidad en el sistema debido a la saturación de la memoria utilizada para resolver peticiones DNS. Cuando el dispositivo Cisco ASA realiza una respuesta a un paquete DNS el atacante tendría que interceptar esta respuesta y reenviarla con una petición DNS mal formada. No se trata de un ataque de denegación de servicio pero sí permite que el sistema pierda rendimiento.
El último fallo de seguridad está centrado en el servicio WebVPN y que permite que un atacante que no posea una sesión iniciada en el servicio pueda provocar el fallo del mismo utilizando un fichero XML y provocando un ataque de denegación de servicio.
Os recomendamos visitar nuestro tutorial sobre cómo mitigar un ataque DDoS.