天津市網(wǎng)信辦提示廣大互聯(lián)網(wǎng)用戶和企業(yè)采取有效措施進行防控:及時分析預警信息,禁用ASA VPN功能或安裝更新的操作系統(tǒng)版本,對可能演變?yōu)閲乐厥录那闆r,及時采取應對措施,避免出現(xiàn)網(wǎng)絡安全事故。
一、漏洞描述
該漏洞是由于在思科ASA/FTD啟用webvpn功能時嘗試雙重釋放內(nèi)存區(qū)域所致。攻擊者可以通過將多個精心制作的XML數(shù)據(jù)包發(fā)送到受影響系統(tǒng)上的webvpn配置界面來利用此漏洞。受影響的系統(tǒng)可能允許未經(jīng)身份驗證的遠程攻擊者執(zhí)行任意代碼并獲得對系統(tǒng)的完全控制權,或導致受影響設備拒絕服務。該漏洞獲得CVE編號CVE-2018-0101,CVSS 評分為滿分10分,因為它很容易遭利用,而且無需在設備進行認證。
二、漏洞影響
漏洞觸發(fā)條件
- ASA配置并使用了Webvpn特性;
- Webvpn暴露在Internet上,訪問范圍不可控;
- ASA運行的版本是受影響的版本。
漏洞影響設備
該漏洞影響在操作系統(tǒng)設置中啟用了 “webvpn” 功能的思科 ASA 設備和FTD設備。
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
三、修復意見
Cisco提供了修復該漏洞新版本,覆蓋了所有ASA軟硬件型號以及受影響FTD型號。經(jīng)過驗證,升級修復還是比較順利的。建議相關用戶盡快升級。
漏洞檢查流程
1. 檢查系統(tǒng)是否啟用了webvpn的功能
show running-config webvpn
2. 檢查系統(tǒng)版本
show version | include Version
升級對應版本列表
ASA列表:
FTD列表:
