思科公司是全球領(lǐng)先的網(wǎng)絡(luò)解決方案供應(yīng)商,該公司致力于為無數(shù)的企業(yè)構(gòu)筑網(wǎng)絡(luò)間暢通無阻的“橋梁”,并用自己敏銳的洞察力、豐富的行業(yè)經(jīng)驗(yàn)、先進(jìn)的技術(shù),幫助企業(yè)把網(wǎng)絡(luò)應(yīng)用轉(zhuǎn)化為戰(zhàn)略性的資產(chǎn),充分挖掘網(wǎng)絡(luò)的能量,獲得競爭的優(yōu)勢(shì)。如今,思科公司已成為了公認(rèn)的全球網(wǎng)絡(luò)互聯(lián)解決方案的領(lǐng)先廠商,其提供的解決方案是世界各地成千上萬的公司、大學(xué)、企業(yè)和政府部門建立互聯(lián)網(wǎng)的基礎(chǔ),用戶遍及電信、金融、服務(wù)、零售等行業(yè)以及政府部門和教育機(jī)構(gòu)等。
但是安全研究人員在近期的研究中發(fā)現(xiàn),思科公司的ASA防火墻軟件中存在一個(gè)安全漏洞,這個(gè)漏洞允許遠(yuǎn)程攻擊者能夠在沒有經(jīng)過身份驗(yàn)證的情況下,對(duì)受影響的目標(biāo)系統(tǒng)進(jìn)行攻擊,甚至還能夠遠(yuǎn)程執(zhí)行惡意代碼。
最近這段時(shí)間對(duì)于各大IT廠商而言,是一段非常黑暗的時(shí)期。近期,安全社區(qū)在當(dāng)前幾款熱門的IT產(chǎn)品中發(fā)現(xiàn)了大量嚴(yán)重的安全漏洞,相關(guān)的產(chǎn)品有瞻博公司的網(wǎng)絡(luò)設(shè)備以及Fortinet的Forti操作系統(tǒng)防火墻。
“風(fēng)水”輪流轉(zhuǎn),現(xiàn)在輪到了思科公司。ASA系列的防火墻是思科公司所推出的下一代防火墻安全解決方案,它是提供了新一代的安全性和VPN服務(wù)的模塊化平臺(tái)。企業(yè)可以根據(jù)特定需求定購不同版本,做到逐步購買、按需部署,靈活方便地實(shí)現(xiàn)安全功能的擴(kuò)展。
思科ASA自適應(yīng)安全設(shè)備實(shí)際上是一種IP路由器,它可以作為應(yīng)用層的防火墻,網(wǎng)絡(luò)反病毒軟件,入侵防御系統(tǒng),以及虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器來使用。
但是思科公司表示,目前最嚴(yán)重的問題就在于,現(xiàn)在有上百萬的ASA防火墻已投入使用,所以這一產(chǎn)品漏洞將會(huì)產(chǎn)生巨大的影響。
Exodus Intelligence的安全研究專家David Barksdale, Jordan Gruskovnjak以及Alex Wheeler發(fā)現(xiàn),思科的ASA防火墻設(shè)備中存在一個(gè)嚴(yán)重的緩沖區(qū)溢出漏洞(CVE-2016-1287),CVSS(通用漏洞評(píng)分系統(tǒng))給此漏洞的評(píng)級(jí)為10分。
Exodus Intelligence的安全研究人員在他們所發(fā)布的公告中說到:“思科分段協(xié)議中的IKE網(wǎng)絡(luò)密鑰交換算法存在一個(gè)設(shè)計(jì)缺陷,這個(gè)漏洞將會(huì)允許攻擊者在目標(biāo)系統(tǒng)中引起堆緩沖區(qū)溢出。攻擊者在為payload精心設(shè)計(jì)了相應(yīng)參數(shù)之后,便會(huì)將payload加載至目標(biāo)設(shè)備的緩沖區(qū)中,這樣便能夠引起緩沖區(qū)的分配空間不足,從而引起堆緩沖區(qū)溢出。除此之外,攻擊者還能夠利用這個(gè)漏洞從而在受影響設(shè)備中遠(yuǎn)程執(zhí)行任意代碼。”
攻擊者只需要向存在漏洞的思科ASA防火墻設(shè)備發(fā)送特制的UDP數(shù)據(jù)包,就能夠輕而易舉地利用ASA防火墻設(shè)備中所存在的安全漏洞。值得一提的是,這些漏洞還能夠允許攻擊者獲取到目標(biāo)系統(tǒng)的完整控制權(quán)。
這將會(huì)帶來非常可怕和深遠(yuǎn)的影響,因?yàn)槲覀冞€需要考慮到的是,全世界目前已經(jīng)有上百萬的思科ASA系列防火墻已經(jīng)正式投入使用了。
思科公司在其官方公告中表示:“在思科ASA系列防火墻軟件的互聯(lián)網(wǎng)密鑰交換協(xié)議的v1(IKE v1)和v2(IKE v2)版本中存在一個(gè)安全漏洞,這個(gè)漏洞將允許遠(yuǎn)程攻擊者能夠在沒有經(jīng)過身份驗(yàn)證的情況下,對(duì)受影響的目標(biāo)系統(tǒng)進(jìn)行攻擊,而且攻擊者甚至還能夠在目標(biāo)設(shè)備中遠(yuǎn)程執(zhí)行惡意代碼。”
“根據(jù)安全研究人員對(duì)漏洞代碼的研究顯示,這個(gè)漏洞將會(huì)在目標(biāo)設(shè)備上引起緩沖區(qū)溢出等問題。攻擊者只需要向存在漏洞的思科ASA防火墻設(shè)備發(fā)送特制的UDP數(shù)據(jù)包,就能夠輕而易舉地利用ASA防火墻設(shè)備中所存在的這一安全漏洞。值得一提的是,這些漏洞還能夠允許攻擊者獲取到目標(biāo)系統(tǒng)的完整控制權(quán)。”
到底有那些設(shè)備會(huì)受到漏洞影響呢?
下列運(yùn)行了思科ASA防火墻軟件的設(shè)備將有可能受到這一漏洞的影響:
◆思科ASA 5500系列自適應(yīng)安全設(shè)備
◆思科ASA 5500-X系列下一代防火墻
◆思科Catalyst 6500系列交換機(jī)的思科ASA服務(wù)模塊
◆思科7600系列路由器
◆思科ASA 1000V云防火墻
◆思科自適應(yīng)安全虛擬設(shè)備(ASAV)
◆思科Firepower 9300 ASA安全模塊
◆思科ISA 3000工業(yè)安全設(shè)備
如果你正在使用的設(shè)備也出現(xiàn)在了上面這個(gè)列表之中,請(qǐng)您盡快修復(fù)產(chǎn)品中的漏洞。