数百万的思科ASA防火墙将有可能遭受黑客攻击

思科公司是全球的网络解决方案供应商，该公司致力于为无数的企业构筑网络间畅通无阻的“桥梁”，并用自己敏锐的洞察力、丰富的行业经验、先进的技术，帮助企业把网络应用转化为战略性的资产，充分挖掘网络的能量，获得竞争的优势。如今，思科公司已成为了公认的全球网络互联解决方案的厂商，其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立互联网的基础，用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。

但是安全研究人员在近期的研究中发现，思科公司的ASA防火墙软件中存在一个安全漏洞，这个漏洞允许远程攻击者能够在没有经过身份验证的情况下，对受影响的目标系统进行攻击，甚至还能够远程执行恶意代码。

较近这段时间对于各大IT厂商而言，是一段非常黑暗的时期。近期，安全社区在当前几款热门的IT产品中发现了大量严重的安全漏洞，相关的产品有瞻博公司的网络设备以及Fortinet的Forti操作系统防火墙。

“风水”轮流转，现在轮到了思科公司。ASA系列的防火墙是思科公司所推出的下一代防火墙安全解决方案，它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。

思科ASA自适应安全设备实际上是一种IP路由器，它可以作为应用层的防火墙，网络反病毒软件，入侵防御系统，以及虚拟专用网络(VPN)服务器来使用。

但是思科公司表示，目前较严重的问题就在于，现在有上百万的ASA防火墙已投入使用，所以这一产品漏洞将会产生巨大的影响。

Exodus Intelligence的安全研究专家David Barksdale, Jordan Gruskovnjak以及Alex Wheeler发现，思科的ASA防火墙设备中存在一个严重的缓冲区溢出漏洞(CVE-2016-1287)，CVSS(通用漏洞评分系统)给此漏洞的评级为10分。

Exodus Intelligence的安全研究人员在他们所发布的公告中说到：“思科分段协议中的IKE网络密钥交换算法存在一个设计缺陷，这个漏洞将会允许攻击者在目标系统中引起堆缓冲区溢出。攻击者在为payload精心设计了相应参数之后，便会将payload加载至目标设备的缓冲区中，这样便能够引起缓冲区的分配空间不足，从而引起堆缓冲区溢出。除此之外，攻击者还能够利用这个漏洞从而在受影响设备中远程执行任意代码。”

攻击者只需要向存在漏洞的思科ASA防火墙设备发送特制的UDP数据包，就能够轻而易举地利用ASA防火墙设备中所存在的安全漏洞。值得一提的是，这些漏洞还能够允许攻击者获取到目标系统的完整控制权。

这将会带来非常可怕和深远的影响，因为我们还需要考虑到的是，全世界目前已经有上百万的思科ASA系列防火墙已经正式投入使用了。

思科公司在其官方公告中表示：“在思科ASA系列防火墙软件的互联网密钥交换协议的v1(IKE v1)和v2(IKE v2)版本中存在一个安全漏洞，这个漏洞将允许远程攻击者能够在没有经过身份验证的情况下，对受影响的目标系统进行攻击，而且攻击者甚至还能够在目标设备中远程执行恶意代码。”

“根据安全研究人员对漏洞代码的研究显示，这个漏洞将会在目标设备上引起缓冲区溢出等问题。攻击者只需要向存在漏洞的思科ASA防火墙设备发送特制的UDP数据包，就能够轻而易举地利用ASA防火墙设备中所存在的这一安全漏洞。值得一提的是，这些漏洞还能够允许攻击者获取到目标系统的完整控制权。”

到底有那些设备会受到漏洞影响呢?

下列运行了思科ASA防火墙软件的设备将有可能受到这一漏洞的影响：

◆思科ASA 5500系列自适应安全设备

◆思科ASA 5500-X系列下一代防火墙

◆思科Catalyst 6500系列交换机的思科ASA服务模块

◆思科7600系列路由器

◆思科ASA 1000V云防火墙

◆思科自适应安全虚拟设备(ASAV)

◆思科Firepower 9300 ASA安全模块

◆思科ISA 3000工业安全设备

如果你正在使用的设备也出现在了上面这个列表之中，请您尽快修复产品中的漏洞。