2018年1月29日，思科（Cisco）官方发布安全公告表示，思科自适应安全设备（ASA，Adaptive Security Appliance）软件的安全套接层（SSL）VPN功能存在远程漏洞执行和拒绝服务漏洞，攻击者可利用此漏洞在未经身份验证的情况下，在受影响的设备上远程执行任意代码、获取目标系统的完整控制权限或重启设备。

一、漏洞描述

该漏洞是由于在思科ASA/FTD启用webvpn功能时尝试双重释放内存区域所致。攻击者可以通过将多个精心制作的XML数据包发送到受影响系统上的webvpn配置界面来利用此漏洞。受影响的系统可能允许未经身份验证的远程攻击者执行任意代码并获得对系统的完全控制权，或导致受影响设备拒绝服务。该漏洞获得CVE编号CVE-2018-0101，CVSS 评分为满分10分，因为它很容易遭利用，而且无需在设备进行认证。

二、漏洞影响

漏洞触发条件

• ASA配置并使用了Webvpn特性；

• Webvpn暴露在Internet上，访问范围不可控；

• ASA运行的版本是受影响的版本。

漏洞影响设备

该漏洞影响在操作系统设置中启用了 “webvpn” 功能的思科 ASA 设备和FTD设备。

• 3000 Series Industrial Security Appliance (ISA)

• ASA 5500 Series Adaptive Security Appliances

• ASA 5500-X Series Next-Generation Firewalls

• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

• ASA 1000V Cloud Firewall

• Adaptive Security Virtual Appliance (ASAv)

• Firepower 2100 Series Security Appliance

• Firepower 4110 Security Appliance

• Firepower 9300 ASA Security Module

• Firepower Threat Defense Software (FTD)

三、修复意见

Cisco提供了修复该漏洞新版本，覆盖了所有ASA软硬件型号以及受影响FTD型号。经过验证，升级修复还是比较顺利的。建议相关用户尽快升级。

漏洞检查流程

1. 检查系统是否启用了webvpn的功能

show running-config webvpn

2. 检查系统版本

show version | include Version

升级对应版本列表

ASA列表：

FTD列表：

天津市网信办提示广大互联网用户和企业采取有效措施进行防控：及时分析预警信息，禁用ASA VPN功能或安装更新的操作系统版本，对可能演变为严重事件的情况，及时采取应对措施，避免出现网络安全事故。