没辙了！思科ASA下一代防火墙曝“10分漏洞”

1月31日讯 思科2018年1月29日发布安全公告表示，思科自适应安全设备（ASA ，Adaptive Security Appliance）软件的安全套接层（SSL）VPN功能存在远程漏洞执行和拒绝服务漏洞（CVE-2018-0101），允许未经身份验证的远程攻击者重装受影响的系统或远程执行代码，影响思科 ASA 软件的老旧版本。



思科ASA软件是思科ASA系列的核心操作系统。思科ASA系列设备是一种集防火墙、反病毒、入侵防御和VPN功能为一体，以安全为中心的网络设备。

开启VPN功能的ASA设备受影响

该漏洞（CVE-2018-0101）影响了以下思科ASA设备，但前提是这些设备启用了“webvpn”功能。

3000系列工业安全设备（ISA）

ASA 5500 系列自适应安全设备

ASA 5500-X 系列下一代防火墙

Cisco Catalyst 6500系列交换机和思科7600系列路由器的ASA的服务模块

ASA 1000V云防火墙

自适应安全虚拟设备（ASAv）

Firepower 2100系列安全设备

Firepower 4110安全设备

Firepower 9300 ASA安全模块

Firepower威胁防御软件（FTD）

思科表示，攻击者可向这些设备发送恶意XML数据包，在设备上执行恶意代码。攻击者甚至可控制设备。

网络安全公司NCC Group的研究人员塞德里克·霍尔波昂发现了漏洞CVE-2018-0101，该漏洞的评分为10分（最严重），评分为10分的漏洞比较罕见，很容易被利用，攻击者可远程访问设备而不需要进行身份验证。

思科表示，尚未发现该漏洞被利用的情况，目前已经发布了多个更新，但是目前没有解决该漏洞的变通方法，因此客户必须禁用 ASA VPN 功能或安装更新的操作系统版本。