Cisco ASA是思科推出的一款防火墙和网络安全平台,主要用于保护工业交换机、路由器等安全设备。与此同时,Cisco FTD则是思科的一款威胁防御软件,专门用于工业防火墙设备。
2023年1月11日,思科发布了安全更新,以修复在自适应安全设备(ASA)软件及FiRepoweR威胁防御(FTD)软件中发现的任意代码执行漏洞。以下是有关该漏洞的详细信息:
漏洞详情
来源:
CVE-2019-15992 CVSS评分:7.2(高)
思科自适应安全设备(ASA)软件
Cisco ASA软件的动态访问策略(DAP)功能使管理员能够根据建立VPN会话时动态评估的因素创建相应的访问控制策略。DAP允许通过Lua编程语言定义更为复杂的身份验证、授权和计费(AAA)策略,并在设备的脚本沙箱中执行这些用户定义的Lua脚本。
然而,Lua解释器的本地实现并未对受影响设备脚本沙箱内允许的Lua函数调用进行足够限制。攻击者若拥有有效的管理凭据,便可提交恶意Lua脚本,该脚本在执行时能够逃脱脚本沙箱,并以Root特权在受影响设备的Linux操作系统上执行任意代码。
思科FiRepoweR威胁防御(FTD)软件
通过自定义应用程序检测器功能,管理员可以定义逻辑来识别和过滤由FiRepoweR管理中心(FMC)管理的Cisco FTD设备上的用户定义的应用程序流量。
在创建自定义应用程序检测逻辑的过程中,管理员可设计两种类型的检测器:基本或高级。基础检测器通过FMC基于Web的界面填写Web表单创建,而高级检测器则是在外部创建,并作为包含用户定义检测逻辑的Lua文件上传至FMC Web界面。配置完成后,高级自定义检测器将在托管的FTD设备的脚本沙箱中下载并执行。
同样,具有有效管理凭据的攻击者可以在FMC Web界面配置高级检测器并提交恶意Lua脚本。检测器配置及恶意脚本将被推送至托管的FTD设备,执行时恶意脚本能够逃脱沙箱,并以Root特权在FTD设备的Linux操作系统上执行任意代码。
受影响产品
此漏洞影响Cisco ASA软件和Cisco FTD软件。
解决方案
思科ASA软件
下表列出了Cisco ASA软件的各版本及其对应的漏洞修复版本。
思科FTD软件
尽管此漏洞影响运行Cisco FTD软件的传感器,但修复漏洞还需通过Cisco FiRepoweR管理中心(FMC)关闭攻击媒介。
思科已发布了针对此漏洞的软件更新。完整修补程序需要安装VDB更新(可通过FMC在托管的FTD设备上安装)以及FMC修补程序。思科建议客户在部署前,按任意顺序安装VDB更新和FMC修补程序。
下表列出了FMC软件的发行版、包含漏洞修复的首个VDB更新及FMC修补程序。
