近日�,�,234钱包安全应急响应中心监测到思科官网颁布安全布告�,�,Cisco Adaptive Security Appliance (ASA) 防火墙设备以及Cisco Firepower Threat Defense (FTD)设备Web服务接口存在未授权的目录穿越缝隙和远程肆意文件读取缝隙�。
该缝隙影响较大�,�,当前缝隙细节已公开�,�,建议宽大用户实时更新到安全版本�,�,预防被黑客攻击造成损失�。
缝隙编号
CVE-2020-3452
风险等级
高危
缝隙描述
Cisco Adaptive Security Appliance (ASA) 是为Cisco ASA系列提供支持的主题操作系统�,�,它以多种大局为ASA设备提供企业级防火墙职能�。Cisco Firepower Threat Defense (FTD) 是 Cisco 的防火墙产品�。
Cisco Adaptive Security Appliance (ASA) 防火墙设备以及Cisco Firepower Threat Defense (FTD)设备的Web服务接口存在未授权的目录穿越缝隙和远程有限肆意文件读取缝隙�。未经身份验证的攻击者可通过向指标设备的Web服务器发送特制要求包读取Web目录下的文件�。成功利用该缝隙的攻击者能够查看WebVpn配相信息�、书签�、Web Cookies�、部门Web内容�、HTTP URLs等敏感信息�。不外攻击者只能查看Web目录下的文件�,�,无法通过该缝隙接见Web目录之外的文件�,�,此缝隙不能用于获取对ASA或FTD的系统文件或底层操作系统(OS)文件的接见�。
影响版本
Cisco ASA 设备影响版本:
<9.6.1
9.6 < 9.6.4.42
9.71
9.8 < 9.8.4.20
9.9 < 9.9.2.74
9.10 < 9.10.1.42
9.12 < 9.12.3.12
9.13 < 9.13.1.10
9.14 < 9.14.1.10
Cisco FTD设备影响版本�:
6.2.2
6.2.3 < 6.2.3.16
6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
6.4.0 < 6.4.0.9 + Hot Fix
6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)
6.6.0 < 6.6.0.1
易受攻击的配置如下�:
Cisco ASA�:
AnyConnect IKEv2 Remote Access (with client services)�:crypto ikev2 enable client-services port
AnyConnect SSL VPN�:webvpn enable
Clientless SSL VPN�:webvpn enable
Cisco FTD�:
AnyConnect IKEv2 Remote Access (with client services)�:crypto ikev2 enable client-services port
AnyConnect SSL VPN�:webvpn enable
修复建议
Cisco ASA�:
9.6 版本以前升级到某一修复版本
9.6 版本升级到 9.6.4.42 版本
9.7 版本升级到某一修复版本
9.8 版本升级到 9.8.4.20 版本
9.9 版本升级到 9.9.2.74 版本
9.10 版本升级到 9.10.1.42 版本
9.12 版本升级到 9.12.3.12 版本
9.13 版本升级到 9.13.1.10 版本
9.14 版本升级到 9.14.1.10 版本
Cisco FTD�:
6.2.2 版本升级到某一修复版本
6.2.3 版本升级到 6.2.3.16 版本
6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本
6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本
6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本
6.6.0 版本升级到 6.6.0.1 版本
要升级到Cisco FTD的修复版本�,�,客户能够执行以下操作之一�:
l 对于使用Cisco Firepower Management Center(FMC)的设备�,�,请使用FMC界面装置升级�。装置实现后�,�,重新利用接见节制战术�。
l 对于使用Cisco Firepower Device Manager (FDM)的设备�,�,请使用FDM界面来装置升级�。装置实现后�,�,重新利用接见节制战术�。
具体请参考 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes
一时修复建议
若是目前无法升级�,�,若业务环境允许�,�,可关闭WebVPN�、AnyConnect职能�,�,使用白名单限度接见来阻止攻击�。
参考链接
1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
北京234钱包网络技术有限公司
2020/07/23