根据思科8月27日的安全公告,思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件已经暴露了高风险漏洞,需要尽快进行升级。
以下是漏洞详细信息:漏洞详细信息的来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86CVEID:CVE-2020-3452 CSS得分:7.5高思科自适应安全设备(ASA)软件是一组防火墙和网络安全平台,主要用于工业交换机,路由器和其他安全设备。
Firepower FTD是Cisco的威胁防御安全软件之一,主要用于工业防火墙设备。
Cisco ASA和Firepower FTD软件的Web服务界面中的漏洞可能允许未经身份验证的远程攻击者进行目录遍历攻击并读取目标系统上的敏感文件。
该漏洞是由受影响的设备处理的HTTP请求中缺少对URL的正确输入验证引起的。
攻击者可以通过向受影响的设备发送包含一系列目录遍历字符的特制HTTP请求来利用此漏洞。
成功利用此漏洞可能使攻击者可以查看目标设备上Web服务文件系统中的任意文件。
例如,这可能允许攻击者模拟另一个VPN用户,并以该用户的身份与设备建立无客户端SSL VPN或AnyConnect VPN会话。
当受影响的设备配置了WebVPN或AnyConnect功能时,将启用Web服务文件系统。
此漏洞不能用于访问ASA或FTD系统文件,基本操作系统(OS)文件或VPN用户登录凭据。
受影响的产品如果Cisco产品运行带有易受攻击的AnyConnect或WebVPN配置的易受攻击的Cisco ASA软件或Cisco FTD软件版本,则此漏洞会影响它们。
ASA软件具有以下3种配置,容易受到攻击:1. AnyConnect IKEv2远程访问(带有客户端服务)执行配置crypto ikev2启用客户端服务端口2. AnyConnect SSL VPN执行配置webvpn启用3.无客户端SSL VPN执行配置webvpn启用FTD软件具有以下2种配置,容易受到攻击:1. AnyConnect IKEv2远程访问(带有客户端服务)执行配置crypto ikev2启用客户端服务端口2. AnyConnect SSL VPN执行配置webvpn启用解决方案Cisco ASA软件1. Cisco ASA软件9.5版及更早版本和9.7版已经到软件维护的结尾。
建议客户迁移到包含此漏洞修复程序的受支持版本。
2.可以通过升级9.6.4.42来修复Cisco ASA 9.6。
3.可以修复Cisco ASA 9.8升级9.8.4.20 4.可以修复Cisco ASA 9.9的升级9.9.2.74 5.可以修复Cisco ASA 9.10的升级9.10.1.42 6 。
可以修复Cisco ASA 9.12升级9.12.3.12 7.可以修复Cisco ASA 9.13升级9.13.1.10 8.可以修复Cisco FTD软件的Cisco ASA 9.14升级9.14.1.10 1. 6.2.2版之前的FTD不会受到影响。
2. FTD 6.2.2迁移到可修复版本3. FTD 6.2.3迁移到6.2.3.16可以是Fix 4.FTD 6.3.0迁移到6.4.0.9 +补丁或6.6.0.1或6.3.0.5 +补丁的迁移1或6.3.0.6(2020年秋季)可以将5.FTD 6.4.0迁移修复为6.4。
0.9 + Hot Fix或6.4.0.10(2020年秋季)可以修复6.FTD 6.5.0迁移到6.6.0.1或6.5.0.4 +补丁或6.5.0.5(2020年秋季)可以修复7.FTD 6.6 .0迁移到6.6 .0.1可以修复要升级到已修复的Cisco FTD软件版本,客户可以执行以下任何操作:对于由Cisco Firepower管理中心(FMC)管理的设备,请使用FMC界面安装升级。
安装完成后,重新应用访问控制策略。
对于由Cisco Firepower设备管理器(FDM)管理的设备,请使用FDM界面进行安装和升级。
安装完成后,重新应用访问控制策略。
有关更多漏洞信息和升级,请访问官方网站:https://tools.cisco.com/security/center/publicationListing.x
