近日��,金山云安全應急響應中心監(jiān)測到思科官網發(fā)布安全公告����,Cisco Adaptive Security Appliance (ASA) 防火墻設備以及Cisco Firepower Threat Defense (FTD)設備Web服務接口存在未授權的目錄穿越漏洞和遠程任意文件讀取漏洞。
該漏洞影響較大���,當前漏洞細節(jié)已公開���,建議廣大用戶及時更新到安全版本,避免被黑客攻擊造成損失����。
漏洞編號
CVE-2020-3452
風險等級
高危
漏洞描述
Cisco Adaptive Security Appliance (ASA) 是為Cisco ASA系列提供支持的核心操作系統(tǒng),它以多種形式為ASA設備提供企業(yè)級防火墻功能�����。Cisco Firepower Threat Defense (FTD) 是 Cisco 的防火墻產品�����。
Cisco Adaptive Security Appliance (ASA) 防火墻設備以及Cisco Firepower Threat Defense (FTD)設備的Web服務接口存在未授權的目錄穿越漏洞和遠程有限任意文件讀取漏洞��。未經身份驗證的攻擊者可通過向目標設備的Web服務器發(fā)送特制請求包讀取Web目錄下的文件�。成功利用該漏洞的攻擊者可以查看WebVpn配置信息、書簽����、Web Cookies、部分Web內容���、HTTP URLs等敏感信息�。不過攻擊者只能查看Web目錄下的文件�����,無法通過該漏洞訪問Web目錄之外的文件����,此漏洞不能用于獲取對ASA或FTD的系統(tǒng)文件或底層操作系統(tǒng)(OS)文件的訪問。
影響版本
Cisco ASA 設備影響版本:
<9.6.1
9.6 < 9.6.4.42
9.71
9.8 < 9.8.4.20
9.9 < 9.9.2.74
9.10 < 9.10.1.42
9.12 < 9.12.3.12
9.13 < 9.13.1.10
9.14 < 9.14.1.10
Cisco FTD設備影響版本:
6.2.2
6.2.3 < 6.2.3.16
6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
6.4.0 < 6.4.0.9 + Hot Fix
6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)
6.6.0 < 6.6.0.1
易受攻擊的配置如下:
Cisco ASA:
AnyConnect IKEv2 Remote Access (with client services):crypto ikev2 enable client-services port
AnyConnect SSL VPN:webvpn enable
Clientless SSL VPN:webvpn enable
Cisco FTD:
AnyConnect IKEv2 Remote Access (with client services):crypto ikev2 enable client-services port
AnyConnect SSL VPN:webvpn enable
修復建議
Cisco ASA:
9.6 版本以前升級到某一修復版本
9.6 版本升級到 9.6.4.42 版本
9.7 版本升級到某一修復版本
9.8 版本升級到 9.8.4.20 版本
9.9 版本升級到 9.9.2.74 版本
9.10 版本升級到 9.10.1.42 版本
9.12 版本升級到 9.12.3.12 版本
9.13 版本升級到 9.13.1.10 版本
9.14 版本升級到 9.14.1.10 版本
Cisco FTD:
6.2.2 版本升級到某一修復版本
6.2.3 版本升級到 6.2.3.16 版本
6.3.0 版本升級到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本
6.4.0 版本升級到 6.4.0.9(Hot Fix)/6.4.0.10 版本
6.5.0 版本升級到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本
6.6.0 版本升級到 6.6.0.1 版本
要升級到Cisco FTD的修復版本����,客戶可以執(zhí)行以下操作之一:
l 對于使用Cisco Firepower Management Center(FMC)的設備�,請使用FMC界面安裝升級�。安裝完成后,重新應用訪問控制策略�����。
l 對于使用Cisco Firepower Device Manager (FDM)的設備��,請使用FDM界面來安裝升級�。安裝完成后,重新應用訪問控制策略��。
具體請參考 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes
臨時修復建議
如果目前無法升級���,若業(yè)務環(huán)境允許�����,可關閉WebVPN�����、AnyConnect功能�����,使用白名單限制訪問來阻止攻擊���。
參考鏈接
1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
北京金山云網絡技術有限公司
2020/07/23