思科 ASA SSL VPN 漏洞的嚴重程度被評為最高級：10分

趕緊打上補丁：思科VPN爆出了一個遠程代碼執行和拒絕服務（DoS）漏洞。而且該漏洞還極其糟糕：嚴重程度被評為最高級10分。

思科近日發布了一份安全公告，描述了運行自適應安全設備（ASA）軟體的思科設備中一個嚴重的安全漏洞。趕緊打上補丁，因為一旦該安全漏洞被利用，可能會導致遠程代碼執行和拒絕服務。

這個名為CVE-2018-0101的漏洞極其糟糕，它擁有通用安全漏洞評分體系（CVSS）中表示程度最嚴重的分數：10分（最高分10分）。如果安全漏洞的CVSS分數被評為10分，這意味著它們很容易被遠程利用，根本不需要什麼驗證。

易受攻擊的思科產品

運行思科ASA的易受攻擊的產品正好是以下10款：

3000系列工業安全設備（ISA）

ASA 5500系列自適應安全設備

ASA 5500-X系列下一代防火牆

面向思科Catalyst6500系列交換機和思科7600系列路由器的ASA服務模塊

ASA 1000V雲防火牆

自適應安全虛擬設備（ASAv）

Firepower 2100系列安全設備

Firepower 4110安全設備

Firepower 9300 ASA安全模塊

Firepower威脅防禦軟體（FTD）

據思科的安全公告聲稱：

思科自適應安全設備（ASA）軟體的安全套接層（SSL）VPN功能中存在一個安全漏洞，可能讓未驗證身份的遠程攻擊者重新載入受影響的系統或遠程執行代碼。

必須啟用WebVPN才能夠利用該漏洞

不過有一個地方要注意，因為只有運行思科ASA的設備上啟用了「webvpn」功能，才能利用這個漏洞。

之所以存在該漏洞，是由於思科ASA設備上的webvpn功能被啟用時，對內存區域釋放了兩次（double free）。攻擊者只要將多個做過手腳的XML數據包發送到受影響系統上的webvpn配置界面，就可以利用該漏洞。該漏洞讓攻擊者得以執行任意代碼，全面控制系統，或者進而重新載入受影響的設備。

思科提供了命令行來確定WebVPN是否被啟用。

按照思科的說明文檔（https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/webvpn.html），WebVPN原本用來建立一條安全的VPN隧道，以便「從互聯網上幾乎任何一台計算機來訪問Web資源和具有Web功能的應用程序」，比如內部網站、MS Outlook Web Access、NT/ActiveDirectory文件共享、MAPI以及電子郵件代理（包括POP3S，IMAP45和SMTPS）。

確定WebVPN是否被啟用後，用戶需要確定正在運行的是哪個版本的ASA或FTD軟體。除了提供一份圖表列出哪些主要的ASA和FTD版本易受攻擊外，思科還給出了操作指南。

思科表示，目前沒有變通方法，所以趕緊打上補丁。

NCC集團的安全研究員錫德里克?哈爾布朗（Cedric Halbronn）發現了這個安全漏洞，並上報給了思科。他準備在2月2日的Recon布魯塞爾大會上介紹自己是如何利用該漏洞的。

思科產品安全事件響應團隊表示，自己沒有聽說有誰企圖利用這個漏洞。哈爾布朗在Recon布魯塞爾2018年大會上演講後，是否仍然是這種情況還需拭目以待。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！