Cisco ha confirmado una vulnerabilidad en las características de detección y bloqueo de archivos maliciosos de los sistemas Firepower que podría permitir a un atacante remoto evitar las funciones de detección de malware de los sistemas afectados.
La vulnerabilidad, con CVE-2016-1345, afecta al software del systema Cisco Firepower que tenga una o más políticas de acciones con archivos configuradas y que se ejecute en los siguientes productos:
- FirePOWER 7000 Series Appliances
- FirePOWER 8000 Series Appliances
- Adaptive Security Appliance (ASA) 5500-X Series con FirePOWER Services
- Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
- Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
- FirePOWER Threat Defense para Integrated Services Routers (ISRs)
- Next Generation Intrusion Prevention System (NGIPS) para Blue Coat X-Series
- Sourcefire 3D System Appliances
- Virtual Next-Generation Intrusion Prevention System (NGIPSv) para VMware
Esta vulnerabilidad también afecta al proyecto Open Source Snort si el código fuente se compila con la opción de configuración –enable-file-inspect.
El fallo reside en una validación inadecuada de los campos de las cabeceras http. Un atacante podría aprovechar la vulnerabilidad mediante el envío de una petición http manipulada a un sistema afectado. Lo que podría permitir al atacante evitar la detección de archivos maliciosos o bloquear las políticas configuradas en el sistema. De esta forma el malware podría pasar por el sistema sin ser detectado.
Cisco ha publicado las versiones 5.4.0.7, 5.4.1.6 y 6.0.1 de Cisco Firepower System Software: Los usuarios pueden instalar la versión apropiada mediante las características de actualización de software de Cisco Firepower Management Center.
También se ha solucionado en Snort versión 2.9.8.2 disponible desde
Más información:
Cisco Firepower Malware Block Bypass Vulnerability
Antonio Ropero
Twitter: @aropero
Deja una respuesta