当前位置:网站首页 > 花落安全组 > 电子书包 > 正文

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

花落花落 2018-02-11 545 0

2018年1月29日,Cisco PSIRT得知一个影响Cisco ASA和Cisco下一代防火墙平台的远程代码执行和DOS的漏洞详情。根据漏洞披露细则,Cisco迅速发布了一个安全通报。该漏洞是NCC组织的Cedric Halbronn首先发现的。

思科工程师经过分析发现了该漏洞的其他攻击向量和特征,随后更新了之前发布的安全通报。因为在第一次发布的安全通报中的修复补丁后,发现可能会导致拒绝服务攻击。因此,思科发布了一个针对ASA平台的新补丁。

识别受影响设备

安全通告详细描述了受影响的特征和受影响的软件版本。研究人员提出一些识别受影响设备的方法。

首先,为了成功的利用该漏洞,攻击者要发送一个伪造的XML消息到用安全通告中描述的特征配置的借口中。

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第1张

受影响的设备必须在接口上开启了SSL服务或者IKEv2远程访问VPN服务。

可以用show asp table socket命令来寻找SSL或DTLS的TCP监听端口:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第2张如果socket存在,那么就可能被攻击。可以用show asp table socket status命令来找出底层的SSL系统数据:

 

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第3张

 

NP SSL统计数据指出了收到的每种类型的消息的数量。大多数是SSL服务器或SSL客户端的新SSL连接的开始和完成。该漏洞只影响到受感染设备的流量,而不是暂时的流量。如果你的设备停止了SSL连接,那么你的设备就危险了。

IKEv2配置也是受影响的,用show run crypto ikev2 | grep enable命令可以查看设备中是否开启了IKEv2:CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第4张

如果命令crypto ikev2 enable在运行的配置中,并且anyconnect enable 命令是webvpn全局配置的一部分时,那么ASA设备也是易被攻击的。

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第5张

 

攻击者要利用该漏洞的话,接收该恶意包的接口必须要有IKEv2或者前面安全通告中描述的受影响的特征中的一个或者几个。

对于受影响的设备,思科建议用户用补丁软件升级设备。

受影响的版本和第一次的修复补丁

图中列出了受影响的软件版本和第一次发布的修复补丁。下图是ASA设备的升级路径:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 电子书包 第6张

Firepower Threat Defense (FTD)软件也受到该漏洞的影响,思科已经发布了FTD 6.2.2版本,是一个热补丁。

本文翻译自:https://blogs.cisco.com/security/cve-2018-0101

 

 

转载请注明来自花落博客,本文标题:《CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析》

标签:CISCOASACVE-2018-0101DOS

猜你喜欢

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

关于我

欢迎关注微信公众号