回到1月29日, 思科(Cisco)发布的适应性安全设备(ASA)远程代码执行和拒绝服务漏洞(Remote Code Execution and Denial of Service Vulnerability)在IT界引起了一阵骚动.
最初宣布只影响火力威胁防御防火墙的ASA和最新代码版本, 在接下来的几周内,这个公告被修改了几次,直到2月16日,以包括在我们客户的网络中运行的大多数ASA和火力防火墙.
该漏洞主要可以通过设备上的SSL特性被利用,也可以通过DTLS和IKEv2被利用.
对于我们的客户来说,SSL是主要的潜在攻击载体,有两种形式:
1. SSL用于设备管理—在ASA上使用ASDM,在FTD防火墙上使用FMC管理连接
2. 通过AnyConnect在VPN中使用SSL
由于我们所有的受管理防火墙都被配置为接受来自有限IP地址集的管理流量,所以设备管理攻击矢量并不是一个非常令人担忧的风险. So, 这意味着,对防火墙的利用/攻击必须来自设备开始“监听”攻击的内部位置之一. 极低概率事件.
SSL AnyConnect攻击载体的问题更大,因为它的本质是对Internet开放的. So, 如果AnyConnect在你的防火墙设备上配置和使用,而你还没有打补丁,你想让它成为一个高优先级.
然而, 如果您没有在您的防火墙上运行AnyConnect, 你们很多人都不是, 这种曝光并不存在.
所以,对你们中的很多人来说,取决于正在运行的功能,这可能不是一个巨大的曝光. 你仍然应该尽快进行补丁,这只是意味着它不是一个三级警报火灾.
思科提供了一个方便的命令,你可以在防火墙设备上运行,看看你是否容易受到攻击:
show asp table socket | include SSL|DTLS
您在表格后面查找是否返回标记为SSL或DTLS的LISTEN条目. 如果你有,你就很脆弱. 如果您得到一个空表或空返回值,则不是.
思科关于该漏洞的官方声明如下:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
本文档还包含了ASA和FTD防火墙的固定版本的软件或补丁的表格,这些软件或补丁应该应用到设备上以缓解这个问题.
CSI已经完成,或者正在进行中,我们的许多客户都在应用这些补丁. 如果您不确定您的防火墙状态或在应用补丁时需要帮助, 请随时通过support@csiny与我们办公室联系.我们很乐意帮忙.
最近的评论