云安全日报200828：思科自适应安全设备软件和威胁防御软件发现高危漏洞，需要尽快升级

根据思科(Cisco)8月27日安全公告显示，思科自适应安全设备（ASA）软件和思科Firepower威胁防御（FTD）软件爆出高危漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

CVEID ：CVE-2020-3452

CSS评分：7.5 高

思科自适应安全设备（ASA）软件是其中的一套防火墙和网络安全平台，主要用于工业交换机，路由器等安全设备。Firepower FTD是思科其中的一个威胁防御安全软件，主要用于工业防火墙设备。

思科ASA和Firepower FTD软件的Web服务界面中的漏洞可能允许未经身份验证的远程攻击者进行目录遍历攻击并读取目标系统上的敏感文件。

该漏洞是由于受影响的设备处理的HTTP请求中的URL缺乏正确的输入验证所致。攻击者可以通过将包含目录遍历字符序列的特制HTTP请求发送到受影响的设备来利用此漏洞。成功利用此漏洞可能使攻击者可以在目标设备上查看Web服务文件系统内的任意文件。例如，这可能允许攻击者冒充另一个VPN用户并以该用户的身份与设备建立无客户端SSL VPN或AnyConnect VPN会话。当受影响的设备配置了WebVPN或AnyConnect功能时，将启用Web服务文件系统。无法使用此漏洞来访问ASA或FTD系统文件，基础操作系统（OS）文件或VPN用户登录凭据。

受影响产品

如果Cisco产品运行带有易受攻击的AnyConnect或WebVPN配置的易受攻击的Cisco ASA软件或Cisco FTD软件版本，则此漏洞会影响它们。

ASA软件有以下3种配置，容易受到攻击：

1.AnyConnect IKEv2远程访问（带有客户端服务） 执行配置 crypto ikev2 enable <接口名称>客户端服务端口<端口号>

2.AnyConnect SSL VPN 执行配置webvpn enable <接口名称>

3.无客户端SSL VPN 执行配置webvpn enable <接口名称>

FTD软件有以下2种配置，容易受到攻击：

1.AnyConnect IKEv2远程访问（带有客户端服务）执行配置 crypto ikev2 enable <接口名称>客户端服务端口<端口号>

2.AnyConnect SSL VPN 执行配置 webvpn enable <接口名称>

解决方案

思科ASA软件

1.Cisco ASA软件9.5版及更早版本以及9.7版已到软件维护终止，建议客户迁移到包含此漏洞修复程序的受支持版本

2.Cisco ASA 9.6 升级 9.6.4.42可修复

3.Cisco ASA 9.8 升级 9.8.4.20可修复

4.Cisco ASA 9.9 升级 9.9.2.74可修复

5.Cisco ASA 9.10升级 9.10.1.42可修复

6.Cisco ASA 9.12 升级 9.12.3.12可修复

7.Cisco ASA 9.13 升级 9.13.1.10可修复

8.Cisco ASA 9.14 升级 9.14.1.10可修复

思科FTD软件

1. FTD 早于6.2.2版本不受影响

2. FTD 6.2.2 迁移到可修复版本

3.FTD 6.2.3 迁移到6.2.3.16可修复

4.FTD 6.3.0 迁移到迁移到6.4.0.9 +修补程序或6.6.0.1或6.3.0.5 +修补程序1或6.3.0.6（2020年秋季）可修复

5.FTD 6.4.0迁移到6.4.0.9 + Hot Fix 或6.4.0.10（2020年秋季）可修复

6.FTD 6.5.0 迁移到迁移到6.6.0.1或6.5.0.4 +修补程序或6.5.0.5（2020年秋季）可修复

7.FTD 6.6.0 迁移到6.6.0.1可修复

要升级到修复版本的Cisco FTD软件，客户可以执行以下任一操作：

对于使用Cisco Firepower管理中心（FMC）管理的设备，请使用FMC界面来安装升级。安装完成后，重新应用访问控制策略。

对于使用Cisco Firepower设备管理器（FDM）管理的设备，请使用FDM接口安装升级。安装完成后，重新应用访问控制策略。

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x