关于Cisco ASA Software安全漏洞情况的通报


近日,国家信息安全漏洞库(CNNVD)收到XPwn未来安全探索盛会组委会关于北京长亭科技有限公司发现的Cisco ASA(Adaptive Security Appliance)防火墙设备缓冲区溢出漏洞的情况报送。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误,攻击者可利用该漏洞对内存数据进行覆盖,从而执行任意代码。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201610-564。
        一、漏洞简介
        Cisco Adaptive Security Appliances(ASA,自适应安全设备)Software是美国思科(Cisco)公司的一套运行于防火墙中的操作系统。
        Cisco ASA Software的Identity Firewall功能存在缓冲区溢出漏洞(漏洞编号:CNNVD-201610-564,CVE-2016-6432)。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误。攻击者可通过发送恶意的数据包利用该漏洞执行任意代码,获取系统的完全控制权,或造成受影响系统重载。
        经思科官方确认,如下产品可能受此漏洞影响:
          Cisco ASA 5500 Series Adaptive Security Appliances
          Cisco ASA 5500-X Series Next-Generation Firewalls
          Cisco Catalyst 6500 Series/7600 Series ASA Services Module
          Cisco ASA 1000V Cloud Firewall
          Cisco Adaptive Security Virtual Appliance (ASAv)
          Cisco ASA for Firepower 9300 Series
          Cisco ASA for Firepower 4100 Series
          Cisco ISA 3000 Industrial Security Appliance
        二、漏洞危害
        攻击者以任何方式连接入受影响设备所在内网后,可通过构造恶意数据包的方式,使该设备产生溢出错误,从而执行任意代码,控制该防火墙,导致对内网其他设备的进一步攻击,漏洞危害较为严重。
        三、修复措施
        目前思科公司已发布该漏洞的修复补丁,受影响用户可通过如下方式修复该漏洞:
        1、用户可通过如下配置命令,关闭存在问题的协议以规避风险:
          ciscoasa# configure terminal
          ciscoasa(config)# no user-identity logout-probe netbios local-system  
        2、用户可通过公告链接中的修复流程,查看使用的防火墙型号,根据型号进行升级。
        公告链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161019-asa-idfw

本报告由XPwn未来安全探索盛会组委会、北京长亭科技有限公司提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。
        联系方式:cnnvd@itsec.gov.cn