中国计算机安全

国家计算机病毒中心发现一种针对
全国范围关键信息基础设施网络安
移动恶意软件开发者对威胁攻击进
2016年政务外网部分省市电子
网络安全法草案拟进一步强化网络
网络安全法草案拟增加多项促进网
国家网信办开展网址导航专项治理

漏洞公告

关于Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞的安全公告

文章来源: 国家互联网应急中心        2016-02-25 10:40:03

    

   近日,国家信息安全漏洞共享平台(CNVD)收录了Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞(CNVD-2016-00929,对应CVE-2016-1287)。攻击者利用漏洞可致网络设备重载或远程代码执行,进而可获取目标系统的控制权限,构成信息泄露和运行安全风险。

   一、漏洞情况分析

   Cisco ASA是一款自适应安全设备,可提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。 由于Cisco ASA Software分段协议中的IKE网络密钥交换算法存在设计缺陷,IKEv1及IKEv2代码中存在缓冲区溢出漏洞。未经身份验证的远程攻击者利用漏洞发送特制的UDP数据包到受影响系统,可致设备重载或远程代码执行,进而可获取到目标系统的完整控制权。CNVD对该漏洞的综合评级为“高危”,且对应的安全威胁CVSS基准评分为10分(最高分即为10分)。

   二、漏洞影响范围

   漏洞影响多款运行了思科ASA防火墙软件的设备,产品用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等,部分设备还附带VPN模块或可用作VPN用途,对于内部区域网络构成直接威胁。受影响设备列表包括:

        思科ASA 5500系列自适应安全设备

        思科ASA 5500-X系列下一代防火墙

        思科Catalyst 6500系列交换机的思科ASA服务模块

        思科7600系列路由器

        思科ASA 1000V云防火墙

        思科自适应安全虚拟设备(ASAV)

        思科Firepower 9300 ASA安全模块

        思科ISA 3000工业安全设备

   根据CNVD初步检测结果,互联网上共有1万台Cisco ASA系列防火墙设备暴露在互联网上,其中欧美国家占绝大多数。居前五位的是美国(60.7%)、英国(5.0%)、加拿大(3.7%)、德国(3.2%)、荷兰(3.1%),中国占比约为1.0%。

   三、漏洞修复建议

   目前,互联网上已披露针对漏洞利用原理的详细分析(暂未出现公开的攻击利用代码),厂商已发布了安全公告修复该漏洞。CNVD建议相关用户及时下载更新,避免引发漏洞相关的网络安全事件,特别是国内电信和互联网行业以及重要行业单位注意排查本单位使用的上述设备列表情况。

 

  • 共有 0 条评论 此处显示 0 条评论 查看全部评论
    • · 尊重网上道德;
    • · 遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法;
    • · 新闻评论并不代表“中国计算机安全”网站的观点。

    您的姓名或昵称:


    验证

    -->