报告编号: B6-2018-013101
报告来源: 360CERT
报告作者: 360NetOPS, 360CERT
更新日期: 2018-02-06
0x00 更新
2018年2月5日,思科经过进一步调查,确认和更新了受此漏洞影响的其它产品,同时,思科也提供了对应的的更新版本。
360CERT监测到,目前相关PoC已经被公开,建议大家尽快更新升级。
注:360NetOPS和360CERT测试验证。
0x01 背景
思科ASA(Adaptive Security Appliance)是一款兼具防火墙,防病毒,入侵防御和虚拟专用网(VPN)功能的安全设备。
思科FTD(Firepower Threat Defense)是一个统一的软件映像,其中包括思科ASA功能和FirePOWER服务。这个统一的软件能够在一个平台上提供ASA和FirePOWER的无论是硬件还是软件的所有功能。
思科公司在周一发布了针对ASA和FTD设备软件的补丁程序,该补丁修复影响ASA软件可导致远程代码执行和拒绝服务的漏洞。该漏洞影响版本基本覆盖了近8年的所有ASA产品, 新出的FTD产品也部分受影响。
0x02 漏洞描述
该漏洞是由于在思科ASA软件的XML解析器中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的系统或远程执行代码。由于内存不足,ASA也有可能停止处理传入的虚拟专用网络(VPN)认证请求。该漏洞是由于处理恶意XML加载时分配和释放内存的问题造成的。攻击者可以通过向受影响系统上的易受攻击的接口发送精心设计的XML数据包来利用此漏洞。该漏洞获得CVE编号CVE-2018-0101,CVSS 评分为满分10分,因为它很容易遭利用,而且无需在设备进行认证。思科表示已注意到漏洞详情遭公开,不过指出尚未发现漏洞遭利用的迹象。
0x03 漏洞影响
漏洞触发条件
- ASA启用安全套接字(SSL)服务或IKEv2远程访问的VPN服务;
- 响应端口暴露在Internet上,访问范围不可控;
- ASA运行的版本是受影响的版本。
漏洞影响设备
此漏洞影响在以下思科产品上运行的Cisco ASA软件:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series
- Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 4120 Security Appliance
- Firepower 4140 Security Appliance
- Firepower 4150 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
- FTD Virtual
易受此漏洞攻击的ASA功能:
0x04 修复建议
Cisco已经提供了修复该漏洞新版本,覆盖所有受影响设备,经过验证,升级修复还是比较顺利的。相关PoC已经公开,经测试PoC可用,建议大家尽快更新升级。
漏洞检查流程
- 检查系统是否启用了webvpn的功能
show running-config webvpn
- 检查系统版本
show version | include Version
升级对应版本列表
ASA列表:
FTD列表:
0x05 更新说明
版本2
增加PoC漏洞验证
更新漏洞触发条件
更新漏洞影响设备
添加ASA受影响功能列表
更新升级软件稳定版本列表
0x06 时间线
2018-01-29 CISCO发布漏洞公告
2018-01-31 360-NetOPS 和 360CERT发布预警
2018-02-05 CISCO发布公告更新
2018-02-06 360-NetOPS 和 360CERT 更新预警版本2