Cisco ha confirmado una vulnerabilidad en las características de detección y bloqueo de archivos maliciosos de los sistemas Firepower que podría permitir a un atacante remoto evitar las funciones de detección de malware de los sistemas afectados.
Recursos afectados
La vulnerabilidad, con CVE-2016-1345, afecta al software del systema Cisco Firepower que tenga una o más políticas de acciones con archivos configuradas y que se ejecute en los siguientes productos:
- FirePOWER 7000 Series Appliances
- FirePOWER 8000 Series Appliances
- Adaptive Security Appliance (ASA) 5500-X Series con
FirePOWER Services
- Advanced Malware Protection (AMP) for Networks, 7000
Series Appliances
- Advanced Malware Protection (AMP) for Networks, 8000
Series Appliances
- FirePOWER Threat Defense para Integrated Services
Routers (ISRs)
- Next Generation Intrusion Prevention System (NGIPS)
para Blue Coat X-Series
- Sourcefire 3D System Appliances
- Virtual Next-Generation Intrusion Prevention System
(NGIPSv) para VMware
Detalle e Impacto de la vulnerabilidad
- Esta vulnerabilidad también afecta al proyecto Open
Source Snort si el código fuente se compila con la opción de configuración
--enable-file-inspect.
- El fallo reside en una validación inadecuada de los
campos de las cabeceras http. Un atacante podría aprovechar la
vulnerabilidad mediante el envío de una petición http manipulada a un
sistema afectado. Lo que podría permitir al atacante evitar la detección
de archivos maliciosos o bloquear las políticas configuradas en el
sistema. De esta forma el malware podría pasar por el sistema sin ser
detectado.
Recomendación
- Cisco ha
publicado las versiones 5.4.0.7, 5.4.1.6 y 6.0.1 de Cisco Firepower System
Software: Los usuarios pueden instalar la versión apropiada mediante las
características de actualización de software de Cisco Firepower Management
Center.
- También se ha
solucionado en Snort versión 2.9.8.2 disponible desde http://www.snort.org/downloads
Más información:
- Cisco Firepower
Malware Block Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160330-fp