CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

华盟学院山东省第二期线下学习计划

2018年1月29日,Cisco PSIRT得知一个影响Cisco ASA和Cisco下一代防火墙平台的远程代码执行和DOS的漏洞详情。根据漏洞披露细则,Cisco迅速发布了一个安全通报。该漏洞是NCC组织的Cedric Halbronn首先发现的。

思科工程师经过分析发现了该漏洞的其他攻击向量和特征,随后更新了之前发布的安全通报。因为在第一次发布的安全通报中的修复补丁后,发现可能会导致拒绝服务攻击。因此,思科发布了一个针对ASA平台的新补丁。

识别受影响设备

安全通告详细描述了受影响的特征和受影响的软件版本。研究人员提出一些识别受影响设备的方法。

首先,为了成功的利用该漏洞,攻击者要发送一个伪造的XML消息到用安全通告中描述的特征配置的借口中。

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

受影响的设备必须在接口上开启了SSL服务或者IKEv2远程访问VPN服务。

可以用show asp table socket命令来寻找SSL或DTLS的TCP监听端口:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

如果socket存在,那么就可能被攻击。可以用show asp table socket status命令来找出底层的SSL系统数据:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

NP SSL统计数据指出了收到的每种类型的消息的数量。大多数是SSL服务器或SSL客户端的新SSL连接的开始和完成。该漏洞只影响到受感染设备的流量,而不是暂时的流量。如果你的设备停止了SSL连接,那么你的设备就危险了。

IKEv2配置也是受影响的,用show run crypto ikev2 | grep enable命令可以查看设备中是否开启了IKEv2:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

如果命令crypto ikev2 enable在运行的配置中,并且anyconnect enable 命令是webvpn全局配置的一部分时,那么ASA设备也是易被攻击的。

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

攻击者要利用该漏洞的话,接收该恶意包的接口必须要有IKEv2或者前面安全通告中描述的受影响的特征中的一个或者几个。

对于受影响的设备,思科建议用户用补丁软件升级设备。

受影响的版本和第一次的修复补丁

图中列出了受影响的软件版本和第一次发布的修复补丁。下图是ASA设备的升级路径:

CVE-2018-0101:CISCO ASA远程代码执行和DOS漏洞分析

www.idc126.com

Firepower Threat Defense (FTD)软件也受到该漏洞的影响,思科已经发布了FTD 6.2.2版本,是一个热补丁。

本文翻译自:https://blogs.cisco.com/security/cve-2018-0101
如若转载,请注明原文地址: http://www.4hou.com/technology/10294.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论