원문: Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances

지난 주에 시스코 ASA5500 제품군 보안 권고문이 발표되었습니다. 대부분 서비스 거부 취약점(DoS)이고 NTLM 인증을 우회할 수 있는 취약점이 하나 있습니다.

• TCP 커넥션 고갈 DoS 취약점 (CVE-2010-0149, CSCsz77717)
  TCP 연결이 종료되는 도중에 특정한 TCP 세그먼트를 받으면 TCP 연결이 고갈되는 취약점이 있습니다.
• SIP 검사 DoS 취약점 (CVE-2010-0150, CVE-2010-0569, CSCsy91157, CSCtc96018)
  SIP 검사 기능을 활성화 한 상태에서 SIP를 처리하는 도중에 어플라이언스가 재시작되는 취약점이 있습니다.
• SCCP 검사 DoS 취약점 (CVE-2010-0151, CSCsz79757)
  SCCP 검사 기능을 활성화 한 상태에서 변조된 제어 메시지를 처리하게 되면 어플라이언스가 재시작 되는 취약점이 있습니다.
• WebVPN DTLS DoS 취약점 (CVE-2010-0565, CSCtb64913)
  WebVPN과 DTLS 전송이 설정된 상태에서 DTLS 포트로 변조된 DTLS 메시지를 보내면 어플라이언스가 재시작 되는 취약점이 있습니다.
• 조작된 TCP 세그먼트를 이용한 DoS 취약점 (CVE-2010-0566, CSCtb37219)
  변조된 TCP 세그먼트를 받아서 nailed 옵션이 걸린 정적 NAT 변환을 거치고 인라인 모드로 Cisco AIP-SSM의 처리가 이어지는 경우 어플라이언스가 재시작되는 취약점이 있습니다.
• 조작된 IKE 메시지 DoS 취약점 (CVE-2010-0567, CSCtc47782)
  어플라이언스가 UDP 4500 포트에서 IPsec 터널을 거쳐 전달된 변조된 IKE 메시지를 처리하게 되면, 모든 IPsec 터널이 종료되고 새로운 터널이 생성되지도 않는 취약점이 있습니다. 메시지를 처리하자마자 당장 죽지는 않고 다음번 rekey가 발생할 때까지 IPsec 트래픽은 정상적으로 처리되지만, 다음번 rekey는 실패하고 터널은 전부 닫히게 됩니다.
• NTLMv1 인증 우회 취약점 (CVE-2010-0568)
  어플라이언스가 윈도우 서버와 NTLMv1 프로토콜을 이용하여 사용자를 인증하도록 설정된 경우 인증을 우회할 수 있습니다. 사용자는 인증 요청에 유효하지 않고 변조된 사용자 이름을 보내어 인증을 우회할 수 있습니다. NTMLv1 인증 프로토콜을 사용하도록 설정된 AAA 서버 그룹을 사용하는 모든 서비스가 영향을 받습니다. (텔넷, SSH, HTTPS, 시리얼, VPN 접속 등)