1月29日,思科针对使用网络安全设备和软件的客户发布了一个高度紧急的安全警告(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1),支持到企业网络的虚拟专用网络连接。使用WebVPN(https://www.cisco.com/c/en/us/support/docs/security/ssl-vpn-client/70663-webvpn.html)无客户端VPN软件配置的防火墙,安全设备和其他设备容易受到基于Web的网络攻击的攻击,从而绕过设备的安全,攻击者可以在设备上运行命令并获得完全控制权。这将使攻击者无拘无束地访问受保护的网络或导致硬件重置。这个漏洞已经被赋予了一个通用漏洞评分系统(Critical Vulnerability Scoring System)的关键评分,评分是CVSS评分的10分。
WebVPN允许公司网络外部的人员通过安全的浏览器会话连接到企业内部网和其他网络资源。由于不需要客户端软件或预先存在的证书来访问Internet,所以WebVPN网关通常可以从互联网上的任何地方访问,因此可以通过编程方式进行攻击。思科安全团队的一位发言人在警告中表示,思科现在还没有意识到此漏洞的任何主动攻击。但是这个漏洞的性质已经公开了,所以漏洞几乎肯定会迅速出现。
NCC Group的Cedric Halbronn发现的这个漏洞使得攻击者可能使用提交给目标设备的WebVPN接口的多个特殊格式的XML消息,试图在系统上“双重释放”内存。执行命令多次释放特定内存地址可能导致内存泄漏,从而使攻击者可以将命令或其他数据写入系统内存块。通过这样做,攻击者可能会导致系统执行命令或者破坏系统内存并导致崩溃。
受影响的系统是运行启用了WebVPN的思科ASA软件的设备。这些包括:
3000系列工业安全设备(ISA)
ASA 5500系列自适应安全设备
ASA 5500-X系列下一代防火墙
适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
ASA 1000V云防火墙
自适应安全虚拟设备(ASAv)
Firepower 2100系列安全设备
Firepower 4110安全设备
Firepower 9300 ASA安全模块
Firepower威胁防御软件(FTD)
思科已经为这个漏洞发布了一个补丁。但是为了获得补丁,没有当前维护合同的客户将不得不联系思科技术支持中心(TAC)获取补丁。一些安全专业人员Ars表达了对思科TAC的反应迟钝表示的沮丧。