思科发布软件补丁,修复影响运行 ASA (Adaptive Security Appliance) 软件的一个远程代码执行漏洞。思科 ASA 软件是思科 ASA 家族的核心操作系统。思科 ASA 家族是安全网络设备,它结合了防火墙、反病毒、阻止入侵和虚拟 VPN 的能力。安全公告指出,该操作系统的 SSL VPN 功能中存在一个漏洞,影响思科 ASA 软件的老旧版本。

启用 VPN 功能的 ASA 设备受影响

该漏洞的编号是 CVE-2018-0101,它影响在操作系统设置中启用了 “webvpn” 功能的思科 ASA 设备。这些设备包括:

思科表示,攻击者能够向这类设备发送恶意 XML 包并在设备上执行恶意代码。攻击者能够利用该代码控制设备。

 

漏洞 CVSS 评分为10分

CVE-2018-0101 的 CVSS 评分为满分10分,意味着它很容易遭利用,可遭远程利用而且无需在设备进行认证。思科表示已注意到漏洞详情遭公开,不过指出尚未发现漏洞遭利用的迹象。NCC Group 公司的 Cedric Halbronn 发现了这些漏洞并告知思科。思科已发布多个更新。思科在CWE-415 安全公告中公布了修复版本。

思科还表示,目前不存在解决该漏洞的权变措施,因此消费者要么禁用 ASA VPN 功能,要么安装操作系统的更新版本。CVSS 评分为10的漏洞非常少见,不过一旦出现一般都是可遭利用的。去年甲骨文也曾遭受CVSS 评分为10的漏洞影响。

文章原文链接:https://www.anquanke.com/post/id/96705