回到1月29日, 思科发布了一款自适应安全设备(ASA)远程代码执行和拒绝服务漏洞,在IT界引发了一阵讨论.
最初宣布仅影响ASA和火力威胁防御防火墙的最新代码版本, 在接下来的几周内,这份声明被修改了几次,直到2月16日,它包括了我们客户网络中运行的大多数ASA和火力防火墙.
该漏洞主要可以通过设备上的SSL功能来利用,但也可以通过DTLS和IKEv2来利用.
对于我们的客户来说,SSL是主要的潜在攻击媒介,有两种形式:
1. SSL在设备管理中的应用—ASDM在ASA上,FMC在FTD防火墙上管理连接
2. SSL使用在VPN通过AnyConnect
设备管理攻击向量并不是一个非常令人担忧的暴露,因为我们所有的托管防火墙都被配置为接受来自非常有限的IP地址集的管理流量. So, 这意味着对防火墙的利用/攻击必须来自这些内部位置之一,设备甚至开始“监听”攻击. 极低概率事件.
SSL AnyConnect攻击向量更有问题,因为这是由服务的本质向互联网开放的. So, 如果在防火墙设备上配置并使用AnyConnect,并且您还没有打补丁,那么您希望将其设置为高优先级.
然而, 如果您没有在防火墙上运行AnyConnect, 你们很多人都不是, 这种暴露并不存在.
所以,对于你们中的许多人来说,这取决于正在运行的功能,这可能不是一个很大的曝光. 你还是应该尽快进行修补,这只是意味着这不是一个三级警报火灾.
思科提供了一个方便的命令,你可以在防火墙设备上运行,看看你是否容易受到攻击:
显示asp表socket |包括SSL|DTLS
返回一个表,查找是否有标记为SSL或DTLS的LISTEN条目返回. 如果你有,你就很脆弱. 如果您得到一个空表或空白返回,您不是.
思科关于该漏洞的官方声明如下:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
本文档还包含ASA和FTD防火墙的表,这些表适用于设备上的软件或补丁的固定版本,以缓解此问题.
CSI已经完成,或者正在进行中,我们的许多客户都应用了这些补丁. 如果您不确定防火墙状态或在应用补丁方面需要帮助, 请随时通过support@csiny与我们的办公室联系.来,我们很乐意帮忙.
最近的评论