Vulnerabilidad en productos Cisco Firepower

Cisco ha confirmado una vulnerabilidad en las características de detección y bloqueo de archivos maliciosos de los sistemas Firepower que podría permitir a un atacante remoto evitar las funciones de detección de malware de los sistemas afectados.

La vulnerabilidad, con CVE-2016-1345, afecta al software del systema Cisco Firepower que tenga una o más políticas de acciones con archivos configuradas y que se ejecute en los siguientes productos:
  • FirePOWER 7000 Series Appliances
  • FirePOWER 8000 Series Appliances
  • Adaptive Security Appliance (ASA) 5500-X Series con FirePOWER Services
  • Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
  • Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
  • FirePOWER Threat Defense para Integrated Services Routers (ISRs)
  • Next Generation Intrusion Prevention System (NGIPS) para Blue Coat X-Series
  • Sourcefire 3D System Appliances
  • Virtual Next-Generation Intrusion Prevention System (NGIPSv) para VMware

Esta vulnerabilidad también afecta al proyecto Open Source Snort si el código fuente se compila con la opción de configuración --enable-file-inspect.

El fallo reside en una validación inadecuada de los campos de las cabeceras http. Un atacante podría aprovechar la vulnerabilidad mediante el envío de una petición http manipulada a un sistema afectado. Lo que podría permitir al atacante evitar la detección de archivos maliciosos o bloquear las políticas configuradas en el sistema. De esta forma el malware podría pasar por el sistema sin ser detectado.

Cisco ha publicado las versiones 5.4.0.7, 5.4.1.6 y 6.0.1 de Cisco Firepower System Software: Los usuarios pueden instalar la versión apropiada mediante las características de actualización de software de Cisco Firepower Management Center.
También se ha solucionado en Snort versión 2.9.8.2 disponible desde
http://www.snort.org/downloads

Más información:

Cisco Firepower Malware Block Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160330-fp


Extracto Obtenido de HISPASEC.COM

Publicar un comentario

0 Comentarios