天津市網(wǎng)信辦提示廣大互聯(lián)網(wǎng)用戶和企業(yè)采取有效措施進(jìn)行防控:及時(shí)分析預(yù)警信息,禁用ASA VPN功能或安裝更新的操作系統(tǒng)版本,對(duì)可能演變?yōu)閲?yán)重事件的情況,及時(shí)采取應(yīng)對(duì)措施,避免出現(xiàn)網(wǎng)絡(luò)安全事故。
一、漏洞描述
該漏洞是由于在思科ASA/FTD啟用webvpn功能時(shí)嘗試雙重釋放內(nèi)存區(qū)域所致。攻擊者可以通過(guò)將多個(gè)精心制作的XML數(shù)據(jù)包發(fā)送到受影響系統(tǒng)上的webvpn配置界面來(lái)利用此漏洞。受影響的系統(tǒng)可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者執(zhí)行任意代碼并獲得對(duì)系統(tǒng)的完全控制權(quán),或?qū)е率苡绊懺O(shè)備拒絕服務(wù)。該漏洞獲得CVE編號(hào)CVE-2018-0101,CVSS 評(píng)分為滿分10分,因?yàn)樗苋菀自饫茫覠o(wú)需在設(shè)備進(jìn)行認(rèn)證。
二、漏洞影響
漏洞觸發(fā)條件
- ASA配置并使用了Webvpn特性;
- Webvpn暴露在Internet上,訪問(wèn)范圍不可控;
- ASA運(yùn)行的版本是受影響的版本。
漏洞影響設(shè)備
該漏洞影響在操作系統(tǒng)設(shè)置中啟用了 “webvpn” 功能的思科 ASA 設(shè)備和FTD設(shè)備。
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
三、修復(fù)意見
Cisco提供了修復(fù)該漏洞新版本,覆蓋了所有ASA軟硬件型號(hào)以及受影響FTD型號(hào)。經(jīng)過(guò)驗(yàn)證,升級(jí)修復(fù)還是比較順利的。建議相關(guān)用戶盡快升級(jí)。
漏洞檢查流程
1. 檢查系統(tǒng)是否啟用了webvpn的功能
show running-config webvpn
2. 檢查系統(tǒng)版本
show version | include Version
升級(jí)對(duì)應(yīng)版本列表
ASA列表:
FTD列表:
