思科ASA安全設備遠程執行代碼和拒絕服務漏洞(CVE-2018-0101)預警

報告編號： B6-2018-013101

報告來源： 360CERT

報告作者： 360CERT

更新日期： 2018-01-31

0x00 背景

思科ASA(Adaptive Security Appliance)是一款兼具防火牆，防病毒，入侵防禦和虛擬專用網（VPN）功能的安全設備。

思科FTD(Firepower Threat Defense)是一個統一的軟體映像，其中包括思科ASA功能和FirePOWER服務。這個統一的軟體能夠在一個平台上提供ASA和FirePOWER的無論是硬體還是軟體的所有功能。

思科公司在周一發布了針對ASA和FTD設備軟體的補丁程序，該補丁修復影響ASA和FTD產品的SSL VPN功能存在的遠程代碼執行和拒絕服務漏洞。該漏洞影響版本基本覆蓋了近8年的所有ASA, 新出的FTD產品也部分受影響。

0x01 漏洞描述

該漏洞是由於在思科ASA/FTD啟用webvpn功能時嘗試雙重釋放內存區域所致。攻擊者可以通過將多個精心製作的XML數據包發送到受影響系統上的webvpn配置界面來利用此漏洞。受影響的系統可能允許未經身份驗證的遠程攻擊者執行任意代碼並獲得對系統的完全控制權，或導致受影響設備拒絕服務。該漏洞獲得CVE編號CVE-2018-0101，CVSS 評分為滿分10分，因為它很容易遭利用，而且無需在設備進行認證。思科表示已注意到漏洞詳情遭公開，不過指出尚未發現漏洞遭利用的跡象。

0x02 漏洞影響

漏洞觸發條件

• ASA配置並使用了Webvpn特性；
• webvpn暴露在Internet上，訪問範圍不可控；
• ASA運行的版本是受影響的版本。

漏洞影響設備

該漏洞影響在操作系統設置中啟用了 「webvpn」 功能的思科 ASA 設備和FTD設備。

• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• Firepower Threat Defense Software (FTD)

0x03 修復建議

Cisco提供了修復該漏洞新版本,覆蓋了所有ASA軟硬體型號以及受影響FTD型號。經過驗證,升級修復還是比較順利的。建議大家儘快升級。

漏洞檢查流程

1. 檢查系統是否啟用了webvpn的功能

show running-config webvpn

1. 檢查系統版本

show version | include Version

升級對應版本列表

ASA列表：

FTD列表：

時間線

2018-01-29 CISCO發布漏洞公告

2018-01-31 360CERT發布預警

參考鏈接

1. Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability
2. Cisco Fixes Remote Code Execution Bug Rated 10 Out of 10 on Severity Scale

推薦閱讀：