近日，金山云安全应急响应中心监测到思科官网发布安全公告，Cisco Adaptive Security Appliance (ASA) 防火墙设备以及Cisco Firepower Threat Defense (FTD)设备Web服务接口存在未授权的目录穿越漏洞和远程任意文件读取漏洞。

该漏洞影响较大，当前漏洞细节已公开，建议广大用户及时更新到安全版本，避免被黑客攻击造成损失。

漏洞编号

CVE-2020-3452

风险等级

高危

漏洞描述

Cisco Adaptive Security Appliance (ASA) 是为Cisco ASA系列提供支持的核心操作系统，它以多种形式为ASA设备提供企业级防火墙功能。Cisco Firepower Threat Defense (FTD) 是 Cisco 的防火墙产品。

Cisco Adaptive Security Appliance (ASA) 防火墙设备以及Cisco Firepower Threat Defense (FTD)设备的Web服务接口存在未授权的目录穿越漏洞和远程有限任意文件读取漏洞。未经身份验证的攻击者可通过向目标设备的Web服务器发送特制请求包读取Web目录下的文件。成功利用该漏洞的攻击者可以查看WebVpn配置信息、书签、Web Cookies、部分Web内容、HTTP URLs等敏感信息。不过攻击者只能查看Web目录下的文件，无法通过该漏洞访问Web目录之外的文件，此漏洞不能用于获取对ASA或FTD的系统文件或底层操作系统（OS）文件的访问。

影响版本

Cisco ASA 设备影响版本:

<9.6.1

9.6 < 9.6.4.42

9.71

9.8 < 9.8.4.20

9.9 < 9.9.2.74

9.10 < 9.10.1.42

9.12 < 9.12.3.12

9.13 < 9.13.1.10

9.14 < 9.14.1.10

Cisco FTD设备影响版本：

6.2.2

6.2.3 < 6.2.3.16

6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

6.4.0 < 6.4.0.9 + Hot Fix

6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

6.6.0 < 6.6.0.1

易受攻击的配置如下：

Cisco ASA：

AnyConnect IKEv2 Remote Access (with client services)：crypto ikev2 enable client-services port

AnyConnect SSL VPN：webvpn enable

Clientless SSL VPN：webvpn enable

Cisco FTD：

AnyConnect IKEv2 Remote Access (with client services)：crypto ikev2 enable client-services port

AnyConnect SSL VPN：webvpn enable

修复建议

Cisco ASA：

9.6 版本以前升级到某一修复版本

9.6 版本升级到 9.6.4.42 版本

9.7 版本升级到某一修复版本

9.8 版本升级到 9.8.4.20 版本

9.9 版本升级到 9.9.2.74 版本

9.10 版本升级到 9.10.1.42 版本

9.12 版本升级到 9.12.3.12 版本

9.13 版本升级到 9.13.1.10 版本

9.14 版本升级到 9.14.1.10 版本

Cisco FTD：

6.2.2 版本升级到某一修复版本

6.2.3 版本升级到 6.2.3.16 版本

6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本

6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本

6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本

6.6.0 版本升级到 6.6.0.1 版本

要升级到Cisco FTD的修复版本，客户可以执行以下操作之一：

l 对于使用Cisco Firepower Management Center（FMC）的设备，请使用FMC界面安装升级。安装完成后，重新应用访问控制策略。

l 对于使用Cisco Firepower Device Manager (FDM)的设备，请使用FDM界面来安装升级。安装完成后，重新应用访问控制策略。

具体请参考 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes

临时修复建议

如果目前无法升级，若业务环境允许，可关闭WebVPN、AnyConnect功能，使用白名单限制访问来阻止攻击。

参考链接

1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

北京金山云网络技术有限公司

2020/07/23