思科公司是全球领先的网络解决方案供应商,该公司致力于为无数的企业构筑网络间畅通无阻的“桥梁”,并用自己敏锐的洞察力、丰富的行业经验、先进的技术,帮助企业把网络应用转化为战略性的资产,充分挖掘网络的能量,获得竞争的优势。如今,思科公司已成为了公认的全球网络互联解决方案的领先厂商,其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立互联网的基础,用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。
但是安全研究人员在近期的研究中发现,思科公司的ASA防火墙软件中存在一个安全漏洞,这个漏洞允许远程攻击者能够在没有经过身份验证的情况下,对受影响的目标系统进行攻击,甚至还能够远程执行恶意代码。
最近这段时间对于各大IT厂商而言,是一段非常黑暗的时期。近期,安全社区在当前几款热门的IT产品中发现了大量严重的安全漏洞,相关的产品有瞻博公司的网络设备以及Fortinet的Forti操作系统防火墙。
“风水”轮流转,现在轮到了思科公司。ASA系列的防火墙是思科公司所推出的下一代防火墙安全解决方案,它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。
思科ASA自适应安全设备实际上是一种IP路由器,它可以作为应用层的防火墙,网络反病毒软件,入侵防御系统,以及虚拟专用网络(VPN)服务器来使用。
但是思科公司表示,目前最严重的问题就在于,现在有上百万的ASA防火墙已投入使用,所以这一产品漏洞将会产生巨大的影响。
Exodus Intelligence的安全研究专家David Barksdale, Jordan Gruskovnjak以及Alex Wheeler发现,思科的ASA防火墙设备中存在一个严重的缓冲区溢出漏洞(CVE-2016-1287),CVSS(通用漏洞评分系统)给此漏洞的评级为10分。
Exodus Intelligence的安全研究人员在他们所发布的公告中说到:“思科分段协议中的IKE网络密钥交换算法存在一个设计缺陷,这个漏洞将会允许攻击者在目标系统中引起堆缓冲区溢出。攻击者在为payload精心设计了相应参数之后,便会将payload加载至目标设备的缓冲区中,这样便能够引起缓冲区的分配空间不足,从而引起堆缓冲区溢出。除此之外,攻击者还能够利用这个漏洞从而在受影响设备中远程执行任意代码。”
攻击者只需要向存在漏洞的思科ASA防火墙设备发送特制的UDP数据包,就能够轻而易举地利用ASA防火墙设备中所存在的安全漏洞。值得一提的是,这些漏洞还能够允许攻击者获取到目标系统的完整控制权。
这将会带来非常可怕和深远的影响,因为我们还需要考虑到的是,全世界目前已经有上百万的思科ASA系列防火墙已经正式投入使用了。
思科公司在其官方公告中表示:“在思科ASA系列防火墙软件的互联网密钥交换协议的v1(IKE v1)和v2(IKE v2)版本中存在一个安全漏洞,这个漏洞将允许远程攻击者能够在没有经过身份验证的情况下,对受影响的目标系统进行攻击,而且攻击者甚至还能够在目标设备中远程执行恶意代码。”
“根据安全研究人员对漏洞代码的研究显示,这个漏洞将会在目标设备上引起缓冲区溢出等问题。攻击者只需要向存在漏洞的思科ASA防火墙设备发送特制的UDP数据包,就能够轻而易举地利用ASA防火墙设备中所存在的这一安全漏洞。值得一提的是,这些漏洞还能够允许攻击者获取到目标系统的完整控制权。”
到底有那些设备会受到漏洞影响呢?
下列运行了思科ASA防火墙软件的设备将有可能受到这一漏洞的影响:
思科ASA 5500系列自适应安全设备
思科ASA 5500-X系列下一代防火墙
思科Catalyst 6500系列交换机的思科ASA服务模块
思科7600系列路由器
思科ASA 1000V云防火墙
思科自适应安全虚拟设备(ASAV)
思科Firepower 9300 ASA安全模块
思科ISA 3000工业安全设备
如果你正在使用的设备也出现在了上面这个列表之中,请您尽快修复产品中的漏洞。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://securityaffairs.co/wordpress/44409/hacking/cisco-asa-firewalls-flaw.html