CVE-2018-0101:CISCO ASA遠程代碼執行和DOS漏洞分析
2018年1月29日,Cisco PSIRT得知一個影響Cisco ASA和Cisco下一代防火牆平台的遠程代碼執行和DOS的漏洞詳情。根據漏洞披露細則,Cisco迅速發布了一個安全通報。該漏洞是NCC組織的Cedric Halbronn首先發現的。
思科工程師經過分析發現了該漏洞的其他攻擊向量和特徵,隨後更新了之前發布的安全通報。因為在第一次發布的安全通報中的修復補丁後,發現可能會導致拒絕服務攻擊。因此,思科發布了一個針對ASA平台的新補丁。
識別受影響設備
安全通告詳細描述了受影響的特徵和受影響的軟體版本。研究人員提出一些識別受影響設備的方法。
首先,為了成功的利用該漏洞,攻擊者要發送一個偽造的XML消息到用安全通告中描述的特徵配置的借口中。
受影響的設備必須在介面上開啟了SSL服務或者IKEv2遠程訪問VPN服務。
可以用show asp table socket命令來尋找SSL或DTLS的TCP監聽埠:
如果socket存在,那麼就可能被攻擊。可以用show asp table socket status命令來找出底層的SSL系統數據:
NP SSL統計數據指出了收到的每種類型的消息的數量。大多數是SSL伺服器或SSL客戶端的新SSL連接的開始和完成。該漏洞隻影響到受感染設備的流量,而不是暫時的流量。如果你的設備停止了SSL連接,那麼你的設備就危險了。
IKEv2配置也是受影響的,用show run crypto ikev2 | grep enable命令可以查看設備中是否開啟了IKEv2:
如果命令crypto ikev2 enable在運行的配置中,並且anyconnect enable 命令是webvpn全局配置的一部分時,那麼ASA設備也是易被攻擊的。
攻擊者要利用該漏洞的話,接收該惡意包的介面必須要有IKEv2或者前面安全通告中描述的受影響的特徵中的一個或者幾個。
對於受影響的設備,思科建議用戶用補丁軟體升級設備。
受影響的版本和第一次的修復補丁
圖中列出了受影響的軟體版本和第一次發布的修復補丁。下圖是ASA設備的升級路徑:
Firepower Threat Defense (FTD)軟體也受到該漏洞的影響,思科已經發布了FTD 6.2.2版本,是一個熱補丁。
本文翻譯自:https://blogs.cisco.com/security/cve-2018-0101如若轉載,請註明原文地址: http://www.4hou.com/technology/10294.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Windows 10改善隱私保護:軟體使用敏感許可權需先向用戶申請
※利用Burp「宏」解決自動化 web fuzzer的登錄問題
※開始學習信息安全的時候,如何避免「實驗」的時候闖禍?
※威脅預警:IBM InfoSphere系列產品中發現多處高危安全漏洞
TAG:信息安全 |