关于Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞的安全公告

2016-02-16 15:10:04

安全公告编号:CNTA-2016-0007

近日,国家信息安全漏洞共享平台(CNVD)收录了Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞(CNVD-2016-00929,对应CVE-2016-1287)。攻击者利用漏洞可致网络设备重载或远程代码执行,进而可获取目标系统的控制权限,构成信息泄露和运行安全风险。

一、漏洞情况分析

Cisco ASA是一款自适应安全设备,可提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。由于Cisco ASA Software分段协议中的IKE网络密钥交换算法存在设计缺陷,IKEv1及IKEv2代码中存在缓冲区溢出漏洞。未经身份验证的远程攻击者利用漏洞发送特制的UDP数据包到受影响系统,可致设备重载或远程代码执行,进而可获取到目标系统的完整控制权。CNVD对该漏洞的综合评级为“高危”,且对应的安全威胁CVSS基准评分为10分(最高分即为10分)。

二、漏洞影响范围

漏洞影响多款运行了思科ASA防火墙软件的设备,产品用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等,部分设备还附带VPN模块或可用作VPN用途,对于内部区域网络构成直接威胁。受影响设备列表包括:

思科ASA 5500系列自适应安全设备

思科ASA 5500-X系列下一代防火墙

思科Catalyst 6500系列交换机的思科ASA服务模块

思科7600系列路由器

思科ASA 1000V云防火墙

思科自适应安全虚拟设备(ASAV)

思科Firepower 9300 ASA安全模块

思科ISA 3000工业安全设备

根据CNVD初步检测结果,互联网上共有1万台Cisco ASA系列防火墙设备暴露在互联网上,其中欧美国家占绝大多数。居前五位的是美国(60.7%)、英国(5.0%)、加拿大(3.7%)、德国(3.2%)、荷兰(3.1%),中国占比约为1.0%。

三、漏洞修复建议

目前,互联网上已披露针对漏洞利用原理的详细分析(暂未出现公开的攻击利用代码),厂商已发布了安全公告修复该漏洞。CNVD建议相关用户及时下载更新,避免引发漏洞相关的网络安全事件,特别是国内电信和互联网行业以及重要行业单位注意排查本单位使用的上述设备列表情况。

附:参考链接:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1287

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

https://blog.exodusintel.com/2016/02/10/firewall-hacking/

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00929