云安全日?qǐng)?bào)201028：思科ASA自適應(yīng)安全設(shè)備軟件發(fā)現(xiàn)拒絕服務(wù)漏洞，需要盡快升級(jí)

發(fā)布時(shí)間：2024-08-13

cisco asa是思科其中的一套防火墻和網(wǎng)絡(luò)安全平臺(tái)，主要用于工業(yè)交換機(jī)，路由器等安全設(shè)備。
根據(jù)思科(cisco)10月27日安全公告顯示，思科自適應(yīng)安全設(shè)備軟件（asa software）發(fā)現(xiàn)拒絕服務(wù)高危漏洞，需要盡快升級(jí)。以下是漏洞詳情：
漏洞詳情
來(lái)源：
https://tools.cisco.com/security/center/content/ciscosecurityadvisory/cisco-sa-asa-ssl-dos-7uzwwsey
cve-2020-27124 cvss評(píng)分：8.6 高
cisco adaptive security appliance（asa）軟件的ssl/tls處理程序中存在漏洞，允許未經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者使受影響的設(shè)備意外重新加載，從而導(dǎo)致拒絕服務(wù)（dos）情況。
該漏洞是由于對(duì)已建立的ssl/tls連接的錯(cuò)誤處理不當(dāng)造成的。攻擊者可以通過(guò)與受影響的設(shè)備建立ssl/tls連接，然后在該連接中發(fā)送惡意ssl/tls消息來(lái)利用此漏洞進(jìn)行攻擊。成功利用此漏洞可使攻擊者重新加載設(shè)備。
受影響產(chǎn)品
如果cisco asa軟件版本9.13.1.12、9.13.1.13和9.14.1.10啟用了導(dǎo)致設(shè)備處理ssl/tls消息的功能，則此漏洞會(huì)影響這些版本。這些功能包括但不限于：
1.anyconnect ssl vpn
2.clientless ssl vpn
3.用于管理接口的http服務(wù)器
注：cisco adaptive security virtual appliances（asav）不易受這些配置的攻擊。
確定設(shè)備是否可以處理ssl或tls消息。要驗(yàn)證運(yùn)行cisco asa軟件的設(shè)備是否可以處理ssl或tls數(shù)據(jù)包，請(qǐng)使用show asp table socket | include ssl | dtls命令并驗(yàn)證它是否返回輸出。當(dāng)此命令返回任何輸出時(shí)，設(shè)備易受攻擊。當(dāng)此命令返回空輸出時(shí)，設(shè)備不受此漏洞影響。
解決方案
思科已經(jīng)發(fā)布了解決此漏洞的軟件更新，cisco asa軟件版本升級(jí)至 9.13.1.16 ， 9.14.1.15或更新版本可修復(fù)。
以下是升級(jí)修復(fù)重要說(shuō)明：
1.對(duì)購(gòu)買(mǎi)了許可證的軟件版本和功能集提供支持，通過(guò)安裝，下載，訪問(wèn)或以其他方式使用此類(lèi)軟件升級(jí)。
2.從思科或通過(guò)思科授權(quán)的經(jīng)銷(xiāo)商或合作伙伴購(gòu)買(mǎi)的，具有有效許可證的軟件可獲得維護(hù)升級(jí)。
3.直接從思科購(gòu)買(mǎi)但不持有思科服務(wù)合同的客戶(hù)以及通過(guò)第三方供應(yīng)商進(jìn)行購(gòu)買(mǎi)但未通過(guò)銷(xiāo)售點(diǎn)獲得修復(fù)軟件的客戶(hù)應(yīng)通過(guò)聯(lián)系思科技術(shù)支持中心獲得升級(jí)。
4.客戶(hù)應(yīng)擁有可用的產(chǎn)品序列號(hào)，并準(zhǔn)備提供上述安全通報(bào)的url，以作為有權(quán)免費(fèi)升級(jí)的證據(jù)。
查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問(wèn)官網(wǎng)：
https://tools.cisco.com/security/center/publicationlisting.x