CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

  • 内容
  • 相关

2018年1月29日,Cisco PSIRT得知一个影响Cisco ASA和Cisco下一代防火墙平台的远程代码执行和DOS的漏洞详情。根据漏洞披露细则,Cisco迅速发布了一个安全通报。该漏洞是NCC组织的Cedric Halbronn首先发现的。

思科工程师经过分析发现了该漏洞的其他攻击向量和特征,随后更新了之前发布的安全通报。因为在第一次发布的安全通报中的修复补丁后,发现可能会导致拒绝服务攻击。因此,思科发布了一个针对ASA平台的新补丁。

识别受影响设备

安全通告详细描述了受影响的特征和受影响的软件版本。研究人员提出一些识别受影响设备的方法。

首先,为了成功的利用该漏洞,攻击者要发送一个伪造的XML消息到用安全通告中描述的特征配置的借口中。

1.png

受影响的设备必须在接口上开启了SSL服务或者IKEv2远程访问VPN服务。

可以用show asp table socket命令来寻找SSL或DTLS的TCP监听端口:

2.png如果socket存在,那么就可能被攻击。可以用show asp table socket status命令来找出底层的SSL系统数据:

 

3.png

 

NP SSL统计数据指出了收到的每种类型的消息的数量。大多数是SSL服务器或SSL客户端的新SSL连接的开始和完成。该漏洞只影响到受感染设备的流量,而不是暂时的流量。如果你的设备停止了SSL连接,那么你的设备就危险了。

IKEv2配置也是受影响的,用show run crypto ikev2 | grep enable命令可以查看设备中是否开启了IKEv2:4.png

如果命令crypto ikev2 enable在运行的配置中,并且anyconnect enable 命令是webvpn全局配置的一部分时,那么ASA设备也是易被攻击的。

5.png

 

攻击者要利用该漏洞的话,接收该恶意包的接口必须要有IKEv2或者前面安全通告中描述的受影响的特征中的一个或者几个。

对于受影响的设备,思科建议用户用补丁软件升级设备。

受影响的版本和第一次的修复补丁

图中列出了受影响的软件版本和第一次发布的修复补丁。下图是ASA设备的升级路径:

6.png

Firepower Threat Defense (FTD)软件也受到该漏洞的影响,思科已经发布了FTD 6.2.2版本,是一个热补丁。

本文翻译自:https://blogs.cisco.com/security/cve-2018-0101

 

 

本文标签:

版权声明:若无特殊注明,本文皆为《花落》原创,转载请保留文章出处。

本文链接:CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析 - http://www.9bwl.com/post-163.html

收录状态: [百度已收录√]  [360未收录×]  [搜狗已收录√]

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

sitemap
00:00 / 00:00
顺序播放