天津市網(wǎng)信辦提示廣大互聯(lián)網(wǎng)用戶(hù)和企業(yè)采取有效措施進(jìn)行防控:及時(shí)分析預警信息,禁用ASA VPN功能或安裝更新的操作系統版本,對可能演變?yōu)閲乐厥录那闆r,及時(shí)采取應對措施,避免出現網(wǎng)絡(luò )安全事故。
一、漏洞描述
該漏洞是由于在思科ASA/FTD啟用webvpn功能時(shí)嘗試雙重釋放內存區域所致。攻擊者可以通過(guò)將多個(gè)精心制作的XML數據包發(fā)送到受影響系統上的webvpn配置界面來(lái)利用此漏洞。受影響的系統可能允許未經(jīng)身份驗證的遠程攻擊者執行任意代碼并獲得對系統的完全控制權,或導致受影響設備拒絕服務(wù)。該漏洞獲得CVE編號CVE-2018-0101,CVSS 評分為滿(mǎn)分10分,因為它很容易遭利用,而且無(wú)需在設備進(jìn)行認證。
二、漏洞影響
漏洞觸發(fā)條件
- ASA配置并使用了Webvpn特性;
- Webvpn暴露在Internet上,訪(fǎng)問(wèn)范圍不可控;
- ASA運行的版本是受影響的版本。
漏洞影響設備
該漏洞影響在操作系統設置中啟用了 “webvpn” 功能的思科 ASA 設備和FTD設備。
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
三、修復意見(jiàn)
Cisco提供了修復該漏洞新版本,覆蓋了所有ASA軟硬件型號以及受影響FTD型號。經(jīng)過(guò)驗證,升級修復還是比較順利的。建議相關(guān)用戶(hù)盡快升級。
漏洞檢查流程
1. 檢查系統是否啟用了webvpn的功能
show running-config webvpn
2. 檢查系統版本
show version | include Version
升級對應版本列表
ASA列表:
FTD列表:
