Monitoramento da versão mais recente do Cisco Adaptive Security Appliance (ASA)

4

Como se verifica automaticamente se o seu Cisco ASA está executando a versão mais recente ou não vulnerável com monitoramento externo?

Com o SNMP, você pode obter o número da versão de um ASA:

$ snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0
iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"

Mas não consigo encontrar nada (banco de dados URL / API / CVE) para comparar isso com, ou testar se essa versão tem vulnerabilidades conhecidas.

Os vários plugins Nagios que eu posso encontrar (como check_snmp_checklevel e nm_check_version ) também não faça isso. Eles apenas permitem verificar a versão em um arquivo de configuração.

Páginas como estes têm informações de versão, mas a análise que é realmente não confiável é claro.

O Cisco ASA tem um recurso "verificar se há atualização", que deve ter algum tipo de URL que ele verifica, mas não temos a conta cisco.com. E eu não sei qual é o URL, e é provavelmente https, então farejar isso não ajuda. Tendo dito isso, se as pessoas souberem o URL de atualização protegido por senha, aceitarei com prazer.

Editar: é ainda mais complicado, porque este CVE indica que, para a versão 9.8, a versão 9.8.2.28 é corrigida. Mas esse nível de patch não é visível no SNMP, nem na GUI em 'About ASA' ...

    
por Halfgaar 11.07.2018 / 15:43

2 respostas

0

Alguém mais apontou para mim que o formulário interativo da Web solicita uma URL que obtém dados JSON sobre a versão.

Até tem um campo isSuggested , para que você não precise saber se é o mais novo lançamento de recurso, mas apenas o do seu ramo de recursos, você tem a versão sugerida.

Parece um pouco como uma URL que pode mudar em algum momento, mas funciona.

    
por 23.07.2018 / 16:27
0

Olhando por essa documentação, posso ver onde seus problemas começam.

Tente executar este comando show version | include image você deve ver a saída como segue: System image file is "disk0:/asa982-28-smp-k8.bin"

Do que estou vendo nas Notas de versão provisórias da Cisco isso será uma maneira direta de recuperar as informações de lançamento e de criação.

Neste caso

Revision: Version 9.8(2)28 – 04/18/2018 Files: asa982-28-smp-k8.bin

Parece que as informações da versão estão incorporadas no nome do arquivo.

Version X.Y(I)J File: asaXYI-J-smp-k8.bin

Este é um kludge, é claro, mas você poderia:

  1. Tenha o SSH do Nagios no ASA
  2. Captura show version | include image
  3. Analise o nome do arquivo no nome da versão.
  4. Verifique a versão em relação a alguma fonte externa.
  5. Retorna o sucesso ou falha no nagios.

Atualização Com base no seu comentário:

Você precisará de algo pesado se não quiser analise a página da Web já listada para os dados. Alguém tem que correlacionar patches de fornecedores, avisos de segurança de fornecedores e CVEs juntos. Este é um processo não-trival.

Nessus e O OpenVAS possui feeds de segurança que tentam fazer a vinculação desses três tipos de dados.

Essas ferramentas, e outras semelhantes, varrerão sua rede, compararão versões e configurações com uma versão mínima ou uma linha de base de configuração. Crie um relatório com recomendações. E acompanhe seu progresso ao longo do tempo ao abordar esses níveis mínimos.

Se você não quiser fazer tudo isso, provavelmente será melhor analisar a página da web e ficar no topo dos CVEs do Cisco ASA.

    
por 14.07.2018 / 16:05