根據(jù)思科(Cisco)8月27日安全公告顯示，思科自適應安全設備（ASA）軟件和思科Firepower威脅防御（FTD）軟件爆出高危漏洞，需要盡快升級。以下是漏洞詳情：

漏洞詳情

來源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

CVEID ：CVE-2020-3452

CSS評分：7.5 高

思科自適應安全設備（ASA）軟件是其中的一套防火墻和網(wǎng)絡安全平臺，主要用于工業(yè)交換機，路由器等安全設備。Firepower FTD是思科其中的一個威脅防御安全軟件，主要用于工業(yè)防火墻設備。

思科ASA和Firepower FTD軟件的Web服務界面中的漏洞可能允許未經身份驗證的遠程攻擊者進行目錄遍歷攻擊并讀取目標系統(tǒng)上的敏感文件。

該漏洞是由于受影響的設備處理的HTTP請求中的URL缺乏正確的輸入驗證所致。攻擊者可以通過將包含目錄遍歷字符序列的特制HTTP請求發(fā)送到受影響的設備來利用此漏洞。成功利用此漏洞可能使攻擊者可以在目標設備上查看Web服務文件系統(tǒng)內的任意文件。例如，這可能允許攻擊者冒充另一個VPN用戶并以該用戶的身份與設備建立無客戶端SSL VPN或AnyConnect VPN會話。當受影響的設備配置了WebVPN或AnyConnect功能時，將啟用Web服務文件系統(tǒng)。無法使用此漏洞來訪問ASA或FTD系統(tǒng)文件，基礎操作系統(tǒng)（OS）文件或VPN用戶登錄憑據(jù)。

受影響產品

如果Cisco產品運行帶有易受攻擊的AnyConnect或WebVPN配置的易受攻擊的Cisco ASA軟件或Cisco FTD軟件版本，則此漏洞會影響它們。

ASA軟件有以下3種配置，容易受到攻擊：

1.AnyConnect IKEv2遠程訪問（帶有客戶端服務） 執(zhí)行配置 crypto ikev2 enable <接口名稱>客戶端服務端口<端口號>

2.AnyConnect SSL VPN 執(zhí)行配置webvpn enable <接口名稱>

3.無客戶端SSL VPN 執(zhí)行配置webvpn enable <接口名稱>

FTD軟件有以下2種配置，容易受到攻擊：

1.AnyConnect IKEv2遠程訪問（帶有客戶端服務）執(zhí)行配置 crypto ikev2 enable <接口名稱>客戶端服務端口<端口號>

2.AnyConnect SSL VPN 執(zhí)行配置 webvpn enable <接口名稱>

解決方案

思科ASA軟件

1.Cisco ASA軟件9.5版及更早版本以及9.7版已到軟件維護終止，建議客戶遷移到包含此漏洞修復程序的受支持版本

2.Cisco ASA 9.6 升級 9.6.4.42可修復

3.Cisco ASA 9.8 升級 9.8.4.20可修復

4.Cisco ASA 9.9 升級 9.9.2.74可修復

5.Cisco ASA 9.10升級 9.10.1.42可修復

6.Cisco ASA 9.12 升級 9.12.3.12可修復

7.Cisco ASA 9.13 升級 9.13.1.10可修復

8.Cisco ASA 9.14 升級 9.14.1.10可修復

思科FTD軟件

1. FTD 早于6.2.2版本不受影響

2. FTD 6.2.2 遷移到可修復版本

3.FTD 6.2.3 遷移到6.2.3.16可修復

4.FTD 6.3.0 遷移到遷移到6.4.0.9 +修補程序或6.6.0.1或6.3.0.5 +修補程序1或6.3.0.6（2020年秋季）可修復

5.FTD 6.4.0遷移到6.4.0.9 + Hot Fix 或6.4.0.10（2020年秋季）可修復

6.FTD 6.5.0 遷移到遷移到6.6.0.1或6.5.0.4 +修補程序或6.5.0.5（2020年秋季）可修復

7.FTD 6.6.0 遷移到6.6.0.1可修復

要升級到修復版本的Cisco FTD軟件，客戶可以執(zhí)行以下任一操作：

對于使用Cisco Firepower管理中心（FMC）管理的設備，請使用FMC界面來安裝升級。安裝完成后，重新應用訪問控制策略。

對于使用Cisco Firepower設備管理器（FDM）管理的設備，請使用FDM接口安裝升級。安裝完成后，重新應用訪問控制策略。

查看更多漏洞信息 以及升級請訪問官網(wǎng)：

https://tools.cisco.com/security/center/publicationListing.x