伺服器與網路設備業者思科VPN產品重大漏洞,可能導致攻擊者遠端執行程式碼

思科修補VPN產品風險指數10的遠端程式碼執行漏洞

伺服器與網路設備業者思科揭露VPN產品Adaptive Security Appliance (ASA) 系列出現重大漏洞,可能導致攻擊者遠端執行程式碼。思科已釋出修補程式,呼籲用戶儘速修補。 

漏洞是由NCC Group公司研究人員Cedric Halbronn發現並通報思科。它位於ASA軟體上名為WebVPN的SSL VPN功能,使其啟動時一區記憶體重複釋放(double free)。這使得攻擊者可以傳送多個經改造的XML封包到受影響裝置上的webvpn組態介面,進而遠端執行任意程式碼並取得系統完整控制權,或導致受害系統重置。 

WebVPN功能讓企業外部的任何人不需安裝用戶端軟體或憑證,只要經由瀏覽器連線即可連結企業內網或其他網路資源,因此一個有漏洞的ASA裝置將曝露於高度攻擊風險中。思科也將該漏洞風險列為通用弱點評分系統(CVSS)最嚴重的10.0。 

思科列出有漏洞的ASA軟體版本,包括9.1版以前,以及9.3、9.5版。9.1版以前的用戶需更新到9.1.7.20版本以上,9.3版及9.5版用戶則需更新到9.4.4.14 和 9.6.3.20。此外,Firepower Threat Defense Software (FTD) 6.6.2也有漏洞,之前版本則不受影響。 

受到這項漏洞影響的詳細產品則包括3000 Series Industrial Security Appliance (ISA)、ASA 5500 Series Adaptive Security Appliances、防火牆產品ASA 5500-X Series Next-Generation Firewalls 、ASA 1000V Cloud Firewall,Firepower防火牆產品包括Firepower 2100 Series Security Appliance、Firepower 4110 Security Appliance、Firepower 9300 ASA Security Module。此外還有Cisco Catalyst 6500 Series 交換器及 Cisco 7600 Series 路由器系列搭配的ASA Services Module,以及Adaptive Security Virtual Appliance (ASAv)。 

所幸思科的安全回應小組尚未接獲或發現任何這項漏洞遭開採的情形。 

思科已經釋出軟體更新來修補該漏洞,但僅限有軟體授權及維護合約者下載。思科也強調除了軟體更新外,沒有權宜方式(workarounds)解決這項漏洞。

低估ASA漏洞導致修補不完全,思科再補一次

才在上周修補Adaptive Security Appliance(ASA)軟體中所含CVE-2018-0101漏洞的思科(Cisco),因第一次的修補並不完整,再加上被踢爆還有其它功能受到該漏洞的影響,於本周又重新修補了一次。

ASA軟體為思科ASA家族所使用的核心作業系統,它提供企業等級的防火牆功能,擁有IPS、VPN與整合通訊能力,支援實體與虛擬裝置的協作,因而被部署於防火牆裝置、可嵌入路由器與交換器的ASA服務模組,以及ASA 1000V雲端防火牆上。

之前思科以為該漏洞只影響WebVPN功能,但在進一步的調查之後,確定此一CVE-2018-0101漏洞有其他的攻擊途徑,也影響更多功能,並發現上周釋出的修補程式並不完整,因而再修補了一次。

向思科提報該漏洞是英國資安業者NCC Group,根據其描述,成功開採CVE-2018-0101的駭客將能檢視所有流經ASA的資料,取得管理權限,還能遠端存取受ASA保護的網路。而且不必藉由特殊的攻擊程式就能瓦解防火牆,也可能破壞網路的連結。

總之,思科的最新發現是,CVE-2018-0101除了可導致遠端程式攻擊之外,還有多種可能造成服務阻斷的情況,且不只是在啟用WebVPN的狀態下會觸發漏洞,舉凡ASDM、Security Manager、Cut-Through Proxy、Local Certificate Authority、Mobile Device Manager Proxy及REST API等功能也都會因特定的配置而招致安全風險。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

駭客企圖開採思科ASA漏洞了,快修補!

思科(Cisco)在上周更新了Adaptive Security Appliance(ASA)軟體CVE-2018-0101漏洞的安全通報,相關跡象顯示已有駭客嘗試開採該漏洞,思科呼籲用戶儘快修補。

ASA軟體為思科ASA產品家族所使用的核心作業系統,它被廣泛部署於防火牆裝置、路由器與交換器的ASA服務模組,以及ASA 1000V雲端防火牆上。

當思科於1月底修補CVE-2018-0101漏洞時,以為它只影響WebVPN功能,並導致遠端程式攻擊,隨後思科發現低估了該漏洞的嚴重性,發現它也波及了其它功能,還可能引發各式的阻斷服務攻擊,因而於2月5日重新再修補了一次,且當時並未發現有任何針對該漏洞的攻擊行動。

然而,該漏洞顯然已引起駭客的覬覦,思科Talos安全情報經理Matthew Olney上周四(2/8)表示,已看到針對CVE-2018-0101漏洞展開阻斷服務攻擊的概念性驗證程式,呼籲用戶儘快修補。

獨立安全研究人員Kevin Beaumont亦於上周指出,有人正在他所建立的誘捕系統上攻擊ASA漏洞。顯示該概念性驗證程式已然流入坊間。

不過,駭客似乎尚未成功攻陷該漏洞,根據Talos總監Craig Williams的說法,迄今看到的還是瘸腳的攻擊行動。

不論如何,駭客目前鎖定的是修補前的ASA漏洞,企業資安人員還是儘速修補為妙。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏