思科系统打补丁的一个关键漏洞可能允许远程攻击者接管思科自适应安全设备(ASA)防火墙配置为虚拟专用网络服务器通过发送畸形的网络数据包。
设备从网络旨在保护私人网络攻击,这是那么糟糕。这就是为什么思科额定的最大10分的脆弱性普通危险得分系统。
缺陷位于处理因特网密钥交换的思科ASA代码版本1 (IKEv1)和艾克版本2 (IKEv2)协议。更准确地说,它源于一个缓冲区溢出条件分散IKE有效载荷的功能流程。
“攻击者可以利用这个漏洞通过发送精心UDP数据包受影响的系统,”思科说一个顾问。“漏洞可能允许攻击者执行任意代码,得到完全控制受影响的系统或导致重载系统”。
艾克作为密钥交换机制IPsec-based虚拟专用网络(vpn)。因此,思科ASA设备只是脆弱如果配置作为终止点LAN-to-LAN IPsec VPN,远程访问VPN使用IPsec VPN客户端,第二层隧道协议(L2TP) -over-IPsec VPN连接和IKEv2 AnyConnect。
思科ASA经常为VPN配置的产品。他们的力量,他们可以提供IP路由、防火墙、网络防病毒、入侵预防和VPN功能在一个单一的设备。
根据思科以下产品是脆弱:亚撒思科5500系列自适应安全电器、思科ASA 5500 - x系列下一代防火墙、思科ASA服务模块为思科6500系列催化剂开关和思科7600系列路由器、思科云防火墙ASA 1000 v,思科自适应安全虚拟设备(ASAv),思科火力9300 ASA安全模块和思科ISA 3000工业安全设备。
思科咨询包含一组固定的思科ASA软件版本不同的版本分支。建议用户尽快更新。
互联网风暴中心无技术研究所报道看到大量增加在互联网探针在UDP端口500,这是最有可能的端口号利用这个漏洞。