È stata trovata, da parte di Cisco, una falla di sicurezza nella funzionalità WebVPN della piattaforma ASA di grave pericolosità, in quanto rende possibile eseguire comandi da remoto.

ciscoLa WebVPN è un sistema pensato per permettere l’accesso VPN direttamente via Web e senza l’uso di client software specifici: il baco permetterebbe ad un malintenzionato di inviare pacchetti XML multipli appositamente formattati che permetterebbero di sfuggire ai controlli di memoria e di compiere azioni malevole sul client bersaglio. Questa vulnerabilità è sfruttabile per attaccare i sistemi di una Intranet attraverso una connessione ad Internet che ha una lista di dispositivi connessi piuttosto elevata e comprende apparati di rete, firewall, switch e altri dispositivi che usano il software ASA.

Installare la patch

Per ovviare a questo baco, Cisco ha pubblicato una patch. L’aggiornamento viene garantito a chi ha contratti di manutenzione con loro, tutti gli altri devono contattare il supporto tecnico di Cisco sperando di ricevere supporto in tempi brevi.

Il CSG è a disposizione per ulteriori chiarimenti o interventi di supporto.