Cisco防火墙存有严重漏洞骇客可全权控制ASA系列型号

企业购买防火墙（Firewall）的原因就像大家在电脑安装防毒软件一样，都是为了保障网络内的装置安全，以防被恶意软件入侵。不过连防火墙本身都存有漏洞，让骇客有机可乘又怎么办啊？著名网络品牌 Cisco （思科）在官网发表声明，指其 Adaptive Security Appliance（ ASA ）等防火墙系列产品的 SSL VPN 功能存有漏洞，可让未通过身份验证的网外骇客，指令防火墙重新开机及在远端执行任意代码。

Cisco 防火墙系列发现严重漏洞，可让骇客获得全权控制。

当 IT 管理员在 Cisco ASA 启动了 WebVPN 这个 SSL VPN 功能后，骇客就可透过漏洞来重复释放内存的部分区域，并传送多个经改造过的 XML 封包至启动了 WebVPN 的网络埠，继而执行任意代码来获得防火墙的全权控制，入侵过程或会导致防火墙重新开机。

Cisco 把该漏洞的风险标为最严重的 10.0 分。

由于 WebVPN 的功能毋需在电脑安装用户端软件或凭证，只需在浏览器登入便能进入公司内部网络，存取到公司资源，所以骇客很易透过 WebVPN 漏洞入侵。 Cisco 亦因而把漏洞风险标为最严重的 10.0 分。受漏洞影响的型号相当广泛，请参考下表：

• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• Firepower Threat Defense Software (FTD)

上一代入门级的 ASA-5505 防火墙。

最新一代的 ASA 5500-X 系列亦存有漏洞，图为 ASA 5506-X。

Rack 版型号亦在受影响之列，图为 ASA 5545-X。

Cisco 已就上述漏洞发放修正档，不过只限具备有效授权（如 ASA 则是 ASDM / FirePOWER License）的用户才可下载更新。如有困难，大家可参考 Cisco 官网的详细解说，或向售卖该设备的经销商查询。

ASA 5500-X 系列的 ASDM 界面更新

Source：Cisco