雷鋒網消息，1月31日，據外媒報道，思科公司已經發(fā)布了軟件補丁，修復了影響運行自適應安全設備（ASA）軟件的思科設備主要漏洞。

思科自適應安全設備軟件，是思科ASA家族系列設備的核心操作系統(tǒng)。思科ASA家族產品是一種以防火墻、防病毒、入侵防御和虛擬專用網絡（VPN）等功能為一體的安全網絡設備系列。

根據此前發(fā)布的安全通報，較老版本的思科自適應安全設備軟件，會因為操作系統(tǒng)的安全套接層協(xié)議層（SSL）VPN功能漏洞而受到影響。

漏洞將會影響啟用VPN功能的ASA設備

雷鋒網了解到，這一漏洞（CVE-2018-0101）將會導致以下思科ASA設備受到影響——不過，只有當“webvpn”功能啟動時，漏洞才會生效。

-3000系列工業(yè)安全設備（ISA）

-ASA 5500系列自適應安全設備

-ASA 5500-X系列下一代防火墻

-用于Cisco Catalyst 6500系列交換機和Cisco 7600系列路由器的ASA服務模塊

-ASA 1000V云防火墻

-自適應安全虛擬設備（ASAv）

-Firepower 2100系列安全設備

-Firepower 4110安全設備

-Firepower 9300 ASA安全模塊

-Firepower威脅防御軟件（FTD）

思科公司表示，攻擊者可以將格式錯誤的XML數據包發(fā)送到這些設備，然后在上面執(zhí)行惡意代碼。根據代碼的性質，攻擊者可以控制被感染的設備。

嚴重等級為最高級10

該漏洞的CVSS安全嚴重等級評分為最高級10分，這意味著它很容易被黑客遠程利用（降低了攻擊代碼的復雜性），而且無需在設備上進行任何認證。

斯克表示，他們最近已經公開了有關漏洞細節(jié)，但是沒有發(fā)現任何利用這個漏洞的攻擊行為。

NCC Group的Cedric Halbronn最先發(fā)現了該漏洞，并且向思科報告了這個問題。目前，思科公司已經發(fā)布了數個更新。此外，思科的CWE-415安全建議中還提供了一個列表，其中有修復發(fā)布的ASA軟件版本號。

不過，思科公司稱目前沒有解決此漏洞的方案，因此用戶必須禁用ASA VPN功能，或是安裝更新的操作系統(tǒng)版本。

事實上，嚴重等級為最高級10的漏洞非常少見，但是當其出現時，往往很容易被黑客利用。去年，甲骨文公司也曾受到類似的問題影響。

雷鋒網VIA bleepingcomputer

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。