近日���,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到思科官網(wǎng)發(fā)布安全公告�����,Cisco Adaptive Security Appliance (ASA) 防火墻設(shè)備以及Cisco Firepower Threat Defense (FTD)設(shè)備Web服務(wù)接口存在未授權(quán)的目錄穿越漏洞和遠(yuǎn)程任意文件讀取漏洞��。
該漏洞影響較大��,當(dāng)前漏洞細(xì)節(jié)已公開(kāi)���,建議廣大用戶(hù)及時(shí)更新到安全版本�����,避免被黑客攻擊造成損失�����。
漏洞編號(hào)
CVE-2020-3452
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Cisco Adaptive Security Appliance (ASA) 是為Cisco ASA系列提供支持的核心操作系統(tǒng),它以多種形式為ASA設(shè)備提供企業(yè)級(jí)防火墻功能����。Cisco Firepower Threat Defense (FTD) 是 Cisco 的防火墻產(chǎn)品。
Cisco Adaptive Security Appliance (ASA) 防火墻設(shè)備以及Cisco Firepower Threat Defense (FTD)設(shè)備的Web服務(wù)接口存在未授權(quán)的目錄穿越漏洞和遠(yuǎn)程有限任意文件讀取漏洞�����。未經(jīng)身份驗(yàn)證的攻擊者可通過(guò)向目標(biāo)設(shè)備的Web服務(wù)器發(fā)送特制請(qǐng)求包讀取Web目錄下的文件���。成功利用該漏洞的攻擊者可以查看WebVpn配置信息����、書(shū)簽���、Web Cookies�����、部分Web內(nèi)容�、HTTP URLs等敏感信息���。不過(guò)攻擊者只能查看Web目錄下的文件��,無(wú)法通過(guò)該漏洞訪(fǎng)問(wèn)Web目錄之外的文件���,此漏洞不能用于獲取對(duì)ASA或FTD的系統(tǒng)文件或底層操作系統(tǒng)(OS)文件的訪(fǎng)問(wèn)����。
影響版本
Cisco ASA 設(shè)備影響版本:
<9.6.1
9.6 < 9.6.4.42
9.71
9.8 < 9.8.4.20
9.9 < 9.9.2.74
9.10 < 9.10.1.42
9.12 < 9.12.3.12
9.13 < 9.13.1.10
9.14 < 9.14.1.10
Cisco FTD設(shè)備影響版本:
6.2.2
6.2.3 < 6.2.3.16
6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
6.4.0 < 6.4.0.9 + Hot Fix
6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)
6.6.0 < 6.6.0.1
易受攻擊的配置如下:
Cisco ASA:
AnyConnect IKEv2 Remote Access (with client services):crypto ikev2 enable client-services port
AnyConnect SSL VPN:webvpn enable
Clientless SSL VPN:webvpn enable
Cisco FTD:
AnyConnect IKEv2 Remote Access (with client services):crypto ikev2 enable client-services port
AnyConnect SSL VPN:webvpn enable
修復(fù)建議
Cisco ASA:
9.6 版本以前升級(jí)到某一修復(fù)版本
9.6 版本升級(jí)到 9.6.4.42 版本
9.7 版本升級(jí)到某一修復(fù)版本
9.8 版本升級(jí)到 9.8.4.20 版本
9.9 版本升級(jí)到 9.9.2.74 版本
9.10 版本升級(jí)到 9.10.1.42 版本
9.12 版本升級(jí)到 9.12.3.12 版本
9.13 版本升級(jí)到 9.13.1.10 版本
9.14 版本升級(jí)到 9.14.1.10 版本
Cisco FTD:
6.2.2 版本升級(jí)到某一修復(fù)版本
6.2.3 版本升級(jí)到 6.2.3.16 版本
6.3.0 版本升級(jí)到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本
6.4.0 版本升級(jí)到 6.4.0.9(Hot Fix)/6.4.0.10 版本
6.5.0 版本升級(jí)到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本
6.6.0 版本升級(jí)到 6.6.0.1 版本
要升級(jí)到Cisco FTD的修復(fù)版本�,客戶(hù)可以執(zhí)行以下操作之一:
l 對(duì)于使用Cisco Firepower Management Center(FMC)的設(shè)備,請(qǐng)使用FMC界面安裝升級(jí)��。安裝完成后��,重新應(yīng)用訪(fǎng)問(wèn)控制策略�����。
l 對(duì)于使用Cisco Firepower Device Manager (FDM)的設(shè)備��,請(qǐng)使用FDM界面來(lái)安裝升級(jí)����。安裝完成后�,重新應(yīng)用訪(fǎng)問(wèn)控制策略�����。
具體請(qǐng)參考 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes
臨時(shí)修復(fù)建議
如果目前無(wú)法升級(jí)��,若業(yè)務(wù)環(huán)境允許���,可關(guān)閉WebVPN、AnyConnect功能�,使用白名單限制訪(fǎng)問(wèn)來(lái)阻止攻擊。
參考鏈接
1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/07/23