CVE-2018-0101：CISCO ASA遠程代碼執行和DOS漏洞分析

2018年1月29日，Cisco PSIRT得知一個影響Cisco ASA和Cisco下一代防火牆平台的遠程代碼執行和DOS的漏洞詳情。根據漏洞披露細則，Cisco迅速發布了一個安全通報。該漏洞是NCC組織的Cedric Halbronn首先發現的。

思科工程師經過分析發現了該漏洞的其他攻擊向量和特徵，隨後更新了之前發布的安全通報。因為在第一次發布的安全通報中的修復補丁後，發現可能會導致拒絕服務攻擊。因此，思科發布了一個針對ASA平台的新補丁。

識別受影響設備

安全通告詳細描述了受影響的特徵和受影響的軟體版本。研究人員提出一些識別受影響設備的方法。

首先，為了成功的利用該漏洞，攻擊者要發送一個偽造的XML消息到用安全通告中描述的特徵配置的借口中。

受影響的設備必須在介面上開啟了SSL服務或者IKEv2遠程訪問VPN服務。

可以用show asp table socket命令來尋找SSL或DTLS的TCP監聽埠：

如果socket存在，那麼就可能被攻擊。可以用show asp table socket status命令來找出底層的SSL系統數據：

NP SSL統計數據指出了收到的每種類型的消息的數量。大多數是SSL伺服器或SSL客戶端的新SSL連接的開始和完成。該漏洞隻影響到受感染設備的流量，而不是暫時的流量。如果你的設備停止了SSL連接，那麼你的設備就危險了。

IKEv2配置也是受影響的，用show run crypto ikev2 | grep enable命令可以查看設備中是否開啟了IKEv2：

如果命令crypto ikev2 enable在運行的配置中，並且anyconnect enable 命令是webvpn全局配置的一部分時，那麼ASA設備也是易被攻擊的。

攻擊者要利用該漏洞的話，接收該惡意包的介面必須要有IKEv2或者前面安全通告中描述的受影響的特徵中的一個或者幾個。

對於受影響的設備，思科建議用戶用補丁軟體升級設備。

受影響的版本和第一次的修復補丁

圖中列出了受影響的軟體版本和第一次發布的修復補丁。下圖是ASA設備的升級路徑：

Firepower Threat Defense (FTD)軟體也受到該漏洞的影響，思科已經發布了FTD 6.2.2版本，是一個熱補丁。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！