　　2018年1月29日，思科（Cisco）官方發(fā)布安全公告表示，思科自適應安全設備（ASA，Adaptive Security Appliance）軟件的安全套接層（SSL）VPN功能存在遠程漏洞執(zhí)行和拒絕服務漏洞，攻擊者可利用此漏洞在未經身份驗證的情況下，在受影響的設備上遠程執(zhí)行任意代碼、獲取目標系統(tǒng)的完整控制權限或重啟設備。

　　天津市網信辦提示廣大互聯(lián)網用戶和企業(yè)采取有效措施進行防控：及時分析預警信息，禁用ASA VPN功能或安裝更新的操作系統(tǒng)版本，對可能演變?yōu)閲乐厥录那闆r，及時采取應對措施，避免出現網絡安全事故。

　　一、漏洞描述

　　該漏洞是由于在思科ASA/FTD啟用webvpn功能時嘗試雙重釋放內存區(qū)域所致。攻擊者可以通過將多個精心制作的XML數據包發(fā)送到受影響系統(tǒng)上的webvpn配置界面來利用此漏洞。受影響的系統(tǒng)可能允許未經身份驗證的遠程攻擊者執(zhí)行任意代碼并獲得對系統(tǒng)的完全控制權，或導致受影響設備拒絕服務。該漏洞獲得CVE編號CVE-2018-0101，CVSS 評分為滿分10分，因為它很容易遭利用，而且無需在設備進行認證。

　　二、漏洞影響

　　漏洞觸發(fā)條件

ASA配置并使用了Webvpn特性；
Webvpn暴露在Internet上，訪問范圍不可控；
ASA運行的版本是受影響的版本。

　　漏洞影響設備

　　該漏洞影響在操作系統(tǒng)設置中啟用了 “webvpn” 功能的思科 ASA 設備和FTD設備。

3000 Series Industrial Security Appliance （ISA）
ASA 5500 Series Adaptive Security Appliances
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
ASA 1000V Cloud Firewall
Adaptive Security Virtual Appliance （ASAv）
Firepower 2100 Series Security Appliance
Firepower 4110 Security Appliance
Firepower 9300 ASA Security Module
Firepower Threat Defense Software （FTD）

　　三、修復意見

　　Cisco提供了修復該漏洞新版本，覆蓋了所有ASA軟硬件型號以及受影響FTD型號。經過驗證，升級修復還是比較順利的。建議相關用戶盡快升級。

　　漏洞檢查流程

　　1. 檢查系統(tǒng)是否啟用了webvpn的功能

　　show running-config webvpn

　　2. 檢查系統(tǒng)版本

　　show version | include Version

　　升級對應版本列表

　　ASA列表：