思科发布软件补丁,修复影响运行 ASA (Adaptive Security Appliance) 软件的一个远程代码执行漏洞。思科 ASA 软件是思科 ASA 家族的核心操作系统。思科 ASA 家族是安全网络设备,它结合了防火墙、反病毒、阻止入侵和虚拟 VPN 的能力。安全公告指出,该操作系统的 SSL VPN 功能中存在一个漏洞,影响思科 ASA 软件的老旧版本。
启用 VPN 功能的 ASA 设备受影响
该漏洞的编号是 CVE-2018-0101,它影响在操作系统设置中启用了 “webvpn” 功能的思科 ASA 设备。这些设备包括:
思科表示,攻击者能够向这类设备发送恶意 XML 包并在设备上执行恶意代码。攻击者能够利用该代码控制设备。
漏洞 CVSS 评分为10分
CVE-2018-0101 的 CVSS 评分为满分10分,意味着它很容易遭利用,可遭远程利用而且无需在设备进行认证。思科表示已注意到漏洞详情遭公开,不过指出尚未发现漏洞遭利用的迹象。NCC Group 公司的 Cedric Halbronn 发现了这些漏洞并告知思科。思科已发布多个更新。思科在CWE-415 安全公告中公布了修复版本。
思科还表示,目前不存在解决该漏洞的权变措施,因此消费者要么禁用 ASA VPN 功能,要么安装操作系统的更新版本。CVSS 评分为10的漏洞非常少见,不过一旦出现一般都是可遭利用的。去年甲骨文也曾遭受CVSS 评分为10的漏洞影响。
发表评论
您还未登录,请先登录。
登录