【高危】- Cisco ASA & FTD多个高危漏洞预警
■ 漏洞描述
Cisco FTD SSL拒绝服务漏洞(CVE-2021-1402)
由于设备执行基于软件的SSL解密时对SSL/TLS消息验证不足,Cisco FTD基于软件的SSL/TLS消息处理程序中存在一个拒绝服务漏洞,其CVSS评分8.6。未经认证的远程攻击者可以通过向受影响的设备发送恶意制作的SSL/TLS消息来利用此漏洞,但发送到受影响设备的SSL/TLS消息不会触发拒绝服务漏洞,攻击者在成功利用此漏洞后可导致进程崩溃,并触发设备重新加载,从而导致拒绝服务。重新加载后,无需手动干预即可恢复设备。
Cisco ASA & FTD拒绝服务漏洞(CVE-2021-1445、CVE-2021-1504)
由于缺乏对HTTPS请求的正确输入验证,Cisco ASA和FTD中存在多个拒绝服务漏洞,CVSS评分均为8.6。未经身份验证的远程攻击者可以通过向受影响的设备发送恶意制作的HTTPS请求来利用这些漏洞,成功利用此漏洞的攻击者可以使受影响的设备重新加载,造成拒绝服务。
Cisco FTD命令注入漏洞(CVE-2021-1448)
由于对用户提供的命令参数验证不足,Cisco FTD的CLI中存在一个命令注入漏洞,其CVSS评分7.8。经过身份验证的本地攻击者可以通过向受影响的命令提交恶意代码来利用此漏洞,成功利用此漏洞的攻击者可以在系统上以root权限执行任意命令。
Cisco ASA & FTD缓冲区溢出漏洞(CVE-2021-1493)
由于对提供给受影响系统的Web服务接口的特定数据的边界检查不足,Cisco ASA和FTD的Web服务界面中存在缓冲区溢出漏洞,其CVSS评分8.5。经过身份验证的远程攻击者可以通过发送恶意的HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在受影响的系统上造成缓冲区溢出,导致泄露数据片段或设备重新加载,从而造成拒绝服务(DoS)。
Cisco ASA & FTD拒绝服务漏洞(CVE-2021-1501)
由于SIP pinhole连接的哈希查询过程中发生崩溃,Cisco ASA和FTD的SIP检查引擎中存在拒绝服务漏洞,其CVSS评分8.6。未经身份验证的远程攻击者可以通过向受影响设备发送恶意制作的SIP流量来利用此漏洞,成功利用此漏洞的攻击者可导致受影响设备崩溃并重新加载。
■ 影响范围
全版本
■ 漏洞检测
匹配系统版本
■ 漏洞修复
目前Cisco已经发布了Cisco ASA和 FTD的安全更新,建议参考官方发布的安全通告及时修复或升级。
CVE-2021-1402:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-ssl-decrypt-dos-DdyLuK6c
CVE-2021-1445、CVE-2021-1504:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vpn-dos-fpBcpEcD
CVE-2021-1448:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-cmdinj-vWY5wqZT
CVE-2021-1493:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-memc-dos-fncTyYKG
CVE-2021-1501:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-sipdos-GGwmMerC
下载链接:
https://software.cisco.com/download/find
■ 临时修复
限制web服务内网访问或加waf防护
■ 漏洞详情
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vpn-dos-fpBcpEcD
Cisco FTD SSL拒绝服务漏洞(CVE-2021-1402)
由于设备执行基于软件的SSL解密时对SSL/TLS消息验证不足,Cisco FTD基于软件的SSL/TLS消息处理程序中存在一个拒绝服务漏洞,其CVSS评分8.6。未经认证的远程攻击者可以通过向受影响的设备发送恶意制作的SSL/TLS消息来利用此漏洞,但发送到受影响设备的SSL/TLS消息不会触发拒绝服务漏洞,攻击者在成功利用此漏洞后可导致进程崩溃,并触发设备重新加载,从而导致拒绝服务。重新加载后,无需手动干预即可恢复设备。
Cisco ASA & FTD拒绝服务漏洞(CVE-2021-1445、CVE-2021-1504)
由于缺乏对HTTPS请求的正确输入验证,Cisco ASA和FTD中存在多个拒绝服务漏洞,CVSS评分均为8.6。未经身份验证的远程攻击者可以通过向受影响的设备发送恶意制作的HTTPS请求来利用这些漏洞,成功利用此漏洞的攻击者可以使受影响的设备重新加载,造成拒绝服务。
Cisco FTD命令注入漏洞(CVE-2021-1448)
由于对用户提供的命令参数验证不足,Cisco FTD的CLI中存在一个命令注入漏洞,其CVSS评分7.8。经过身份验证的本地攻击者可以通过向受影响的命令提交恶意代码来利用此漏洞,成功利用此漏洞的攻击者可以在系统上以root权限执行任意命令。
Cisco ASA & FTD缓冲区溢出漏洞(CVE-2021-1493)
由于对提供给受影响系统的Web服务接口的特定数据的边界检查不足,Cisco ASA和FTD的Web服务界面中存在缓冲区溢出漏洞,其CVSS评分8.5。经过身份验证的远程攻击者可以通过发送恶意的HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在受影响的系统上造成缓冲区溢出,导致泄露数据片段或设备重新加载,从而造成拒绝服务(DoS)。
Cisco ASA & FTD拒绝服务漏洞(CVE-2021-1501)
由于SIP pinhole连接的哈希查询过程中发生崩溃,Cisco ASA和FTD的SIP检查引擎中存在拒绝服务漏洞,其CVSS评分8.6。未经身份验证的远程攻击者可以通过向受影响设备发送恶意制作的SIP流量来利用此漏洞,成功利用此漏洞的攻击者可导致受影响设备崩溃并重新加载。
■ 影响范围
全版本
■ 漏洞检测
匹配系统版本
■ 漏洞修复
目前Cisco已经发布了Cisco ASA和 FTD的安全更新,建议参考官方发布的安全通告及时修复或升级。
CVE-2021-1402:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-ssl-decrypt-dos-DdyLuK6c
CVE-2021-1445、CVE-2021-1504:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vpn-dos-fpBcpEcD
CVE-2021-1448:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-cmdinj-vWY5wqZT
CVE-2021-1493:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-memc-dos-fncTyYKG
CVE-2021-1501:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-sipdos-GGwmMerC
下载链接:
https://software.cisco.com/download/find
■ 临时修复
限制web服务内网访问或加waf防护
■ 漏洞详情
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vpn-dos-fpBcpEcD