الثغرات ›

CVE-2016-6367

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Cisco Adaptive Security Appliance (ASA) CLI Remote Code Execution Vulnerability — A vulnerability in the command-line interface (CLI) parser of Cisco ASA software could allow an authenticated, local a

                    نُشر: May 24, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2016-6367 is a critical vulnerability in the Cisco Adaptive Security Appliance (ASA) CLI parser that allows an authenticated, local attacker to execute arbitrary code or cause a denial-of-service condition. This vulnerability has a CVSS score of 9.0 and known exploits are publicly available, including its association with the 'EPICBANANA' exploit linked to the Shadow Brokers/Equation Group leak. Given the widespread deployment of Cisco ASA firewalls across Saudi critical infrastructure, this vulnerability poses significant risk to organizations that have not applied patches. Immediate patching is essential as exploit code is readily available in the wild.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 6, 2026 10:33

🇸🇦 التأثير على المملكة العربية السعودية

Cisco ASA firewalls are extensively deployed across Saudi Arabia's critical infrastructure including banking institutions regulated by SAMA, government networks under NCA oversight, Saudi Aramco and energy sector networks, telecom providers like STC/Mobily/Zain, and healthcare organizations. An authenticated attacker with CLI access could escalate privileges to gain full control of the firewall, potentially bypassing all network security controls. This is particularly concerning for Saudi organizations where ASA devices serve as primary perimeter defense. The energy and financial sectors are at highest risk given their reliance on Cisco infrastructure and the nation-state level tooling (EPICBANANA) associated with this exploit.

🏢 القطاعات السعودية المتأثرة

Banking Government Energy Telecommunications Healthcare Defense Critical Infrastructure

⚖️ درجة المخاطر السعودية (AI)

8.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Cisco ASA devices in your environment and verify current software versions

2. Apply Cisco security advisory cisco-sa-20160817-asa-cli patches immediately

3. Restrict CLI access to only authorized administrators using AAA controls

4. Implement strict access control lists (ACLs) limiting management access to trusted IP addresses only

5. Enable command authorization to limit CLI commands available to each user



COMPENSATING CONTROLS:

- Enforce multi-factor authentication for all ASA management access

- Disable SSH/Telnet access from untrusted networks

- Monitor for unusual CLI commands and login attempts via syslog

- Implement out-of-band management networks for all firewall administration



DETECTION:

- Monitor ASA syslog for unusual CLI command patterns (message IDs 111008, 111009)

- Alert on repeated authentication failures followed by successful logins

- Deploy SIEM rules to detect privilege escalation attempts on network devices

- Review ASA crash logs for signs of exploitation attempts

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أجهزة Cisco ASA في بيئتك والتحقق من إصدارات البرامج الحالية

2. تطبيق تصحيحات Cisco الأمنية cisco-sa-20160817-asa-cli فوراً

3. تقييد الوصول إلى واجهة سطر الأوامر للمسؤولين المصرح لهم فقط باستخدام ضوابط AAA

4. تنفيذ قوائم التحكم في الوصول (ACLs) لتقييد الوصول الإداري للعناوين الموثوقة فقط

5. تفعيل تفويض الأوامر للحد من أوامر CLI المتاحة لكل مستخدم



الضوابط التعويضية:

- فرض المصادقة متعددة العوامل لجميع عمليات الوصول الإداري لـ ASA

- تعطيل وصول SSH/Telnet من الشبكات غير الموثوقة

- مراقبة أوامر CLI غير المعتادة ومحاولات تسجيل الدخول عبر syslog

- تنفيذ شبكات إدارة منفصلة لجميع عمليات إدارة جدران الحماية



الكشف:

- مراقبة سجلات ASA للأنماط غير المعتادة لأوامر CLI

- التنبيه على محاولات المصادقة الفاشلة المتكررة متبوعة بتسجيل دخول ناجح

- نشر قواعد SIEM للكشف عن محاولات تصعيد الامتيازات على أجهزة الشبكة

- مراجعة سجلات أعطال ASA بحثاً عن علامات محاولات الاستغلال

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-2:3-1 (Network Security) ECC-2:5-1 (Vulnerability Management) ECC-2:3-4 (Firewall Management) ECC-2:4-1 (Patch Management) ECC-2:6-1 (Incident Management)

🔵 SAMA CSF

3.3.3 (Network Security Management) 3.3.4 (Patch Management) 3.3.7 (Vulnerability Management) 3.4.1 (Incident and Threat Management) 3.3.1 (Access Control)

🟡 ISO 27001:2022

A.8.9 (Configuration Management) A.8.8 (Management of Technical Vulnerabilities) A.8.20 (Network Security) A.8.15 (Logging) A.5.15 (Access Control)

🟣 PCI DSS v4.0

Requirement 1 (Install and maintain network security controls) Requirement 2 (Apply secure configurations) Requirement 6.3.3 (Patch critical vulnerabilities) Requirement 10 (Log and monitor all access) Requirement 11.3 (Vulnerability scanning)

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Cisco:Adaptive Security Appliance (ASA)

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS23.09%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-06-14

تاريخ النشر 2022-05-24

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.5

/ 10.0 — مخاطر السعودية

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2016-6367

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب