思科公司日前发布了多款安全补丁,旨在对使用其Adaptive Security Appliance(简称ASA,意为自适应安全设备)软件的产品以及思科Catalyst 6500系列与思科7600系列路由器加以保护,使其免受验证旁路、命令执行以及拒绝服务等攻击活动的侵扰。
思科发布了其ASA软件的最新版本,希望借此解决与一系列组件相关的六种拒绝服务漏洞以及存在于远程访问服务当中的三种验证旁路漏洞。
攻击者有可能借此实现设备重新载入,进而利用IPsec VPN服务在ICMP数据包处理机制中产生的漏洞实施拒绝服务攻击。思科公司在本周三的一份安全公告中表示,除了IPsec VPN服务,同样存在安全漏洞的组件还包括SQL*Net检测引擎、HTTP深层数据包检测代码、DNS检查或者无客户端SSL VPN。
此外,恶意人士还能够利用数字证书或者远程访问VPN验证规程中的缺陷,通过思科ASDM(即自适应安全设备管理)访问互联网或者获取对受影响系统的管理访问权限,该公司补充称。
受影响的思科ASA软件版本被广泛应用于思科ASA 5500系列自适应安全设备、思科ASA 5500-X下一代防火墙以及专门针对思科Catalyst 6500系列交换机、思科7600系列路由器外加思科ASA 1000V云防火墙的思科ASA服务模块当中。
不过,并不是所有版本都受到了这些安全漏洞的影响。为了确定哪些漏洞会影响到哪些设备上的哪个特定版本,进而核实应该升级至哪个版本,客户朋友们需要通过咨询获取一切官方说明列表。
专门服务于校园主干网络以及大型企业分支机构的思科Catalyst 6500系列交换机以及运营商级网络边界产品思科7600系列路由器也受到影响,造成问题的是来自思科FWSM(即防火墙服务模块)中的两项漏洞。
其中一项漏洞允许攻击者在FWSM软件被配置为多背景模式时在系统中执行命令。一旦此漏洞被成功利用,系统的保密性、赛事性以及可用性很可能遭受全面影响——思科公司本周三在一份单独公告当中做出了这样的描述。
另一项FWSM漏洞与SQL*Net检测引擎的安全缺陷一样,会影响ASA并有可能导致受影响设备重新载入,进而带来拒绝服务状况。需要强调的是,只有SQL*Net处于启用状态下时,设备才会受到这一漏洞的影响。
三种ASA与FWSM拒绝服务漏洞的解决方法都已经出炉,并被罗列于相关公告当中。为了解决其它安全问题,客户们需要将软件更新到与其部署方案相匹配的最新版本。
根据思科方面的说法,所有于本周三被修复的安全漏洞都是在其处理客户支持事务时发现的,而且该公司的产品安全应急团队并未发现这些漏洞被公开披露或者被用于实现任何恶意目的。