思科 ASA SSL VPN 漏洞的严重程度被评为最高级:10分
赶紧打上补丁:思科VPN爆出了一个远程代码执行和拒绝服务(DoS)漏洞。而且该漏洞还极其糟糕:严重程度被评为最高级10分。
思科近日发布了一份安全公告,描述了运行自适应安全设备(ASA)软件的思科设备中一个严重的安全漏洞。赶紧打上补丁,因为一旦该安全漏洞被利用,可能会导致远程代码执行和拒绝服务。
这个名为CVE-2018-0101的漏洞极其糟糕,它拥有通用安全漏洞评分体系(CVSS)中表示程度最严重的分数:10分(最高分10分)。如果安全漏洞的CVSS分数被评为10分,这意味着它们很容易被远程利用,根本不需要什么验证。
易受攻击的思科产品
运行思科ASA的易受攻击的产品正好是以下10款:
-
3000系列工业安全设备(ISA)
-
ASA 5500系列自适应安全设备
-
ASA 5500-X系列下一代防火墙
-
面向思科Catalyst6500系列交换机和思科7600系列路由器的ASA服务模块
-
ASA 1000V云防火墙
-
自适应安全虚拟设备(ASAv)
-
Firepower 2100系列安全设备
-
Firepower 4110安全设备
-
Firepower 9300 ASA安全模块
-
Firepower威胁防御软件(FTD)
据思科的安全公告声称:
思科自适应安全设备(ASA)软件的安全套接层(SSL)VPN功能中存在一个安全漏洞,可能让未验证身份的远程攻击者重新加载受影响的系统或远程执行代码。
必须启用WebVPN才能够利用该漏洞
不过有一个地方要注意,因为只有运行思科ASA的设备上启用了“webvpn”功能,才能利用这个漏洞。
之所以存在该漏洞,是由于思科ASA设备上的webvpn功能被启用时,对内存区域释放了两次(double free)。攻击者只要将多个做过手脚的XML数据包发送到受影响系统上的webvpn配置界面,就可以利用该漏洞。该漏洞让攻击者得以执行任意代码,全面控制系统,或者进而重新加载受影响的设备。
思科提供了命令行来确定WebVPN是否被启用。
按照思科的说明文档(https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/webvpn.html),WebVPN原本用来建立一条安全的VPN隧道,以便“从互联网上几乎任何一台计算机来访问Web资源和具有Web功能的应用程序”,比如内部网站、MS Outlook Web Access、NT/ActiveDirectory文件共享、MAPI以及电子邮件代理(包括POP3S,IMAP45和SMTPS)。
确定WebVPN是否被启用后,用户需要确定正在运行的是哪个版本的ASA或FTD软件。除了提供一份图表列出哪些主要的ASA和FTD版本易受攻击外,思科还给出了操作指南。
思科表示,目前没有变通方法,所以赶紧打上补丁。
NCC集团的安全研究员锡德里克•哈尔布朗(Cedric Halbronn)发现了这个安全漏洞,并上报给了思科。他准备在2月2日的Recon布鲁塞尔大会上介绍自己是如何利用该漏洞的。
思科产品安全事件响应团队表示,自己没有听说有谁企图利用这个漏洞。哈尔布朗在Recon布鲁塞尔2018年大会上演讲后,是否仍然是这种情况还需拭目以待。