长 亭 漏 洞 预 警
Cisco ASA防火墙webvpn远程代码执行漏洞
2018年1月29日,Cisco官方发布一个安全公告,声明修复了ASA系列防火墙中的一个远程代码执行漏洞,漏洞编号为 CVE-2018-0101/CWE-415。该漏洞由英国安全公司NCC Group的安全研究员Cedric Halbronn报告。
漏洞描述
CVE-2018-0101是一个二次释放(Double Free)漏洞,CVSS评分为满分10分,漏洞可能导致远程代码执行。漏洞的触发前提是在ASA设备中启用webvpn功能。攻击者可以通过发送精心构造的XML数据包,实现在受影响的设备上执行恶意代码。
影响范围
影响产品:
3000 Series Industrial Security Appliance (ISA)
ASA 5500 Series Adaptive Security Appliances
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
ASA 1000V Cloud Firewall
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4110 Security Appliance
Firepower 9300 ASA Security Module
Firepower Threat Defense Software (FTD)
在这些设备中,受影响的软件主要为开启了webvpn的ASA和FTD软件,可以通过查看是否启用webvpn和二者的版本号来判断漏洞是否存在。
Cisco ASA受影响版本及查看方法
Cisco ASA受影响版本如下:
注意:Cisco ASA 9.1之前的版本,包括8.x、9.3、9.5已经终止维护。
查看Cisco ASA是否开启webvpn:
命令行中输入以下命令:
ciscoasa# show running-config webvpn
webvpn
查询Cisco ASA版本方法:
在命令行中输入:show version即可查询到当前版本
ciscoasa# show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)
或者在Cisco Adaptive Security Device Manager(ASDM)的窗口左上角查询版本信息。
Cisco FTP受影响版本及查看方法
Cisco FTD同时包含了Firepower和ASA软件的代码,因此也受影响。
Cisco FTD受影响版本如下:
Cisco FTD 6.2.2以下的版本不支持远程vpn访问,所以不受影响。
查询Cisco FTD版本方法:
在命令行中输入:show version即可查询到当前版本
> show version
--------------------[ ftd ]--------------------
Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.2 (Build 362)
UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
Rules update version : 2017-03-15-001-vrt
VDB version : 279
应急方法
方法1
临时解决方案:关闭webvpn功能,方法请参考官方手册:https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/webvpn.html
方法2
购买了license的用户可以通过官方渠道安装更新。
参考资料
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
https://www.bleepingcomputer.com/news/security/cisco-fixes-remote-code-execution-bug-rated-10-out-of-10-on-severity-scale/
领取专属 10元无门槛券
私享最新 技术干货