2月10日,思科ASA防火墙产品软件系统被曝出IKE(Internet密钥交换协议)v1和v2代码漏洞,可以导致未经授权的远程攻击者进行受感染系统重启或远程代码执行。此漏洞CVE编号为CVE-2016-1287,级别为高危。
此漏洞是由于受影响代码区域在执行时会产生缓冲区溢出的情况导致的。攻击者可以通过手工定制UDP数据包的内容来进行受影响系统的漏洞利用。通过利用此漏洞,攻击者可以在系统上执行任何代码,获得系统完整控制权甚至让系统重启。IPv4和IPv6流量都能够进行漏洞利用。
Internet 密钥交换(IKE)是 IPsec 体系结构中的一种主要协议,能够为IPSec 提供自动协商交换密钥、建立安全服务,以简化IPSec 的使用和管理。IKE 可用于协商虚拟专用网(VPN),也可用于远程用户(其 IP 地址不需要事先知道)访问安全主机或网络。而思科ASA安全产品被使用最多的功能即是VPN互联。
据研究显示,此漏洞可能通过UDP500或4500端口触发,目前已监测到的流量大多来自于UDP500端口。
受影响的产品:
Cisco ASA 5500 系列安全网关
Cisco ASA 5500-X 系列下一代防火墙
Cisco Catalyst 6500 系列交换机和Cisco 7600系列路由器上的Cisco ASA 服务模块
Cisco ASA 1000V 云火墙
Cisco 虚拟化安全网关 (ASAv)
Cisco Firepower 9300 ASA 安全模块
Cisco ISA 3000工业防火墙
受影响的思科ASA软件中的缓冲区溢出漏洞只有当配置为终结IKEv1或IKEv2 VPN连接时才有可能被利用。
包含如下:
LAN-to-LAN IPsec VPN
使用IPsec VPN 客户端远程接入VPN
Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN 连接
IKEv2 AnyConnect
只有被配置为终结如下VPN 连接时思科ASA软件才不会被利用漏洞:
非客户端SSL
AnyConnect SSL
由于此漏洞影响严重,Fortinet FortiGuard实验室在2月11日已经添加此漏洞利用的IPS签名到特征库中。Fortinet的用户可以通过更新IPS特征库来获得最新的安全防御。