安全是有分量的

服务器防御_cdn防护微信_原理

2022-01-12 11:37栏目:锐观点

服务器防御_cdn防护微信_原理

摘要

2018年2月5日,Cisco更新了CVE-2018-010的现有漏洞通知,原因是新发现的攻击向量和原始软件修复程序被确定为不完整。该漏洞CVE-2018-010是Cisco ASA和Cisco Next General firewall平台中的一个关键远程代码执行和拒绝服务漏洞,CVSS得分为10.0,为可能的最高得分。最初的漏洞咨询以及不完整的软件修复于2018年1月29日发布

在扩大调查范围后,Cisco工程师发现了受此漏洞影响的其他攻击向量和功能,这些攻击向量和功能最初未被识别,Cisco现在发布了新的软件版本,以全面解决此漏洞和其他拒绝服务漏洞。不幸的是,数据库防御ddos,在最初的通知之后已经更新了设备的Cisco客户端也必须应用这些新的补丁,以确保漏洞得到正确解决。

说明

该漏洞存在于Cisco Adaptive Security Appliance(ASA)和FirePower Threat Defense(FTD)软件的XML解析器中,该软件允许未经验证的,远程攻击者远程执行任意代码,导致受影响系统重新加载,或导致设备停止处理虚拟专用网络(VPN)身份验证请求。

易受攻击,Adaptive Security Appliance(ASA)或Cisco下一代防火墙必须运行受影响的软件版本,并且在接口上启用了安全套接字层(SSL)服务或IKEv2远程访问VPN服务。该漏洞影响任何终止SSL通信的设备。此漏洞仅影响发送到受影响设备的通信量,而不影响通过设备的通信量。

潜在影响

远程攻击者可以利用精心编制的XML数据包来允许远程代码执行,强制重新加载受影响系统的,有效的DDos防御,以获得对系统的完全控制,或者由于内存不足而停止传入VPN身份验证请求的过程。

未经身份验证的远程攻击者能够在设计用于暴露于internet的安全设备上执行任意代码,使得此漏洞的潜在影响极高。该漏洞的CVSS得分为10.0,为可能的最高值。

尽管在撰写本文时,不存在针对该漏洞的公开可用攻击代码,但该漏洞可能使远程攻击者完全危害设备,允许未经授权访问组织内部网络,暴露受保护的资产,并允许攻击者在受影响的系统上编程后门以进行持久访问。

受影响的版本

易受攻击,Adaptive Security Appliance(ASA)或Cisco下一代防火墙必须运行受影响的软件版本,云ddos防御,并且在接口上启用了安全套接字层(SSL)服务或IKEv2远程访问VPN服务。此漏洞仅影响发送到受影响设备的流量,而不影响通过设备的流量。

以下Cisco产品受此严重漏洞影响:

3000系列工业安全设备(ISA)ASA 5500系列自适应安全设备ASA 5500-X系列下一代防火墙ASA服务模块,近三年ddos防御技术,用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器ASA 1000V云防火墙自适应安全虚拟设备(ASAv)Firepower 2100系列安全设备火力4110安全装置火力4120安全装置火力4140安全装置火力4150安全装置火力9300 ASA安全模块火力威胁防御软件(FTD)FTD Virtual

要确定ASA设备是否有漏洞,客户端可以使用以下命令:

"show asp table socket"

客户端应在任何TCP端口上查找SSL或DTLS侦听套接字。如果存在套接字,则设备易受攻击。

客户端还可以使用以下命令确定IKE V2是否已启用:

"show run crypto ikev2 | grep enable"

如果设备运行配置中存在"crypto ikev2 enable",并且"anyconnect enable"是全局webvpn配置的一部分,ASA设备易受攻击。

要确定设备当前运行的ASA软件版本,请使用以下命令:

"显示版本|包括版本

要确定设备当前运行的火力威胁防御(FTD)版本,百度云cc防御,使用以下命令:

"show version"

受影响的功能:

Cisco提供了下表[1],以帮助组织确定其设备的配置是否易受CVE-2018-010中所述问题的影响。左栏列出了潜在易受影响的功能,右栏指出了可能会受影响的内容如果该功能已启用,请在设备的"运行"配置中查看。

要确定运行该功能的设备是否受到影响,请运行以下命令:

"show running config | include"

功能易受攻击的配置自适应安全设备管理器(ASDM)http服务器启用http协议AnyConnect IKEv2远程访问(使用客户端服务)加密ikev2启用客户端服务端口webvpn任意连接启用AnyConnect IKEv2远程访问(无客户端服务)加密ikev2启用webvpn任意连接启用AnyConnect SSL VPNwebvpn使可能思科安全管理器http服务器启用http协议无客户端SSL VPNwebvpn使可能直通代理(不易受攻击,除非与同一端口上的其他易受攻击功能一起使用)aaa身份验证侦听器本地证书颁发机构(CA)加密服务器ca激活端口移动设备管理器(MDM)代理mdm代理使可能移动用户安全(MUS)webvpnmus密码mus主机亩 代理绕过webvpn代理绕过REST APIrest api映像磁盘0:/rest api代理

[1]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

缓解和响应