临界VPN密钥交换缺陷将思科安全设备公开到远程黑客
Cisco Systems修补了一种关键漏洞,可以允许远程攻击者将Cisco Adaptive Security Appliance(ASA)防火墙仅作为虚拟专用网络服务器突出,只需将格式的网络数据包发送到它们。
对于旨在保护专用网络免受互联网攻击保护的设备,这与它一样糟糕。这就是思科为什么在普通漏洞评分系统中的最高分为10的漏洞中的漏洞。
缺陷位于Cisco ASA代码中,处理Internet密钥交换版本1(IKEv1)和IKE版本2(IKEv2)协议。更确切地说,它源于处理碎片的IKE有效载荷的功能中的缓冲溢出条件。
“攻击者可以通过向受影响的系统发送制作的UDP数据包来利用这种漏洞,”思科在咨询中表示。“漏洞利用可以允许攻击者执行任意代码并获得对系统的完全控制或导致受影响系统的重新加载。”
IKE被用作基于IPSec的虚拟专用网络(VPN)的关键交换机制。因此,思科ASA设备仅易受攻击,如果它们是使用IPSec VPN客户端,第2层隧道协议(L2TP)-over-IPSec VPN连接的LAN-TO-LAN IPSEC VPN,远程访问VPN的终止点和ikev2 anyconnect。
Cisco ASA产品经常为VPN康明。它们的实力是,它们可以在单个设备中提供IP路由,防火墙,网络防病毒,入侵防护和VPN功能。
根据思科的说法,以下产品脆弱:Cisco ASA 5500系列自适应安全设备,Cisco ASA 5500-X系列下一代防火墙,Cisco Catalyst的Cisco ASA服务模块6500系列交换机和Cisco 7600系列路由器,Cisco ASA 1000V云防火墙,思科自适应安全虚拟设备(ASAV), Cisco Firepower 9300 ASA安全模块和Cisco ISA 3000工业安全设备。
Cisco Advisory包含一个包含针对不同版本分支的固定Cisco ASA软件版本的列表。建议用户尽快更新。
Sans Technology Institute的互联网风暴中心报告说,在UDP端口500上看到互联网探针大幅增加,这是利用这种漏洞的最可能的端口号。