思科下一代防火墙ASA/FTD等产品认证会话固定漏洞CVE-2018-0229

近日,思科ASA、FTD软件及AnyConnect安全移动客户端爆出SAML 认证会话固定漏洞,CVE编号CVE-2018-0229,成功利用此漏洞,可使攻击者劫持有效的身份验证令牌, 并使用该标记通过运行 ASA 或 FTD 软件的受影响设备,建立经过身份验证的 AnyConnect 会话。受影响软件包括ASA软件9.7.1及更高版本,FTD软件6.2.1及更高版本,AnyConnect 4.4.00243及更高版本,SecurityAffairs及思科发布预警通告,相关信息如下

推荐阅读:

什么是会话固定漏洞

OWASP Wiki显示,会话固定是一种攻击,允许攻击者劫持有效的用户会话。该攻击探讨了Web应用程序管理会话ID的方式的限制,更具体地说是易受攻击的Web应用程序。在对用户进行身份验证时,它不会分配新的会话ID,从而可以使用现有的会话ID。攻击包括获取有效的会话ID(例如,通过连接到应用程序),诱导用户使用该会话ID对自己进行身份验证,然后通过所使用的会话ID的知识劫持用户验证的会话。攻击者必须提供合法的Web应用程序会话ID,并尝试让受害者的浏览器使用它。

会话修复攻击是一类会话劫持,它会在用户登录后窃取客户端和Web服务器之间建立的会话。相反,会话修复攻击会在受害者的浏览器上修复已建立的会话,因此攻击会在用户登录。

https://www.owasp.org/index.php/Session_fixation

CVE-2018-0229漏洞概要

针对CVE-2018-0229漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-0229涉及厂商、CVE-2018-0229漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-0229漏洞标识

  • CVE ID:CVE-2018-0229
  • BUGTRAQ ID:【BUGTRAQ ID】
  • 思科漏洞库ID:CSCvg65072, CSCvh87448
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-0229漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-0229
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • 思科官方链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-asaanyconnect

CVE-2018-0229漏洞描述

【增补中】

CVE评价该漏洞

在AnyConnect 台式机平台、cisco 自适应安全装置 (ASA) 软件和Cisco Firepower Threat Defense (FTD) 软件上,存在实现安全断言标记语言 (SAML) 单登录 (SSO) 身份验证方面的漏洞 ,未经身份验证的远程攻击者可以在运行 ASA 或 FTD 软件的受影响设备上,建立经过身份验证的 AnyConnect 会话。

身份验证可以由不知情的第三方进行, 又称为会话固定。存在此漏洞的原因是, ASA 或 FTD 软件没有机制可以检测到身份验证请求,是否直接来源于 AnyConnect 客户端。

攻击者可以通过诱使用户单击精心编制的链接,并使用公司的身份提供程序 (IdP) 进行身份验证。成功利用此漏洞,可使攻击者劫持有效的身份验证令牌, 并使用该标记通过运行 ASA 或 FTD 软件的受影响设备,建立经过身份验证的 AnyConnect 会话。

此漏洞会影响 cisco AnyConnect 安全移动客户端, 以及在以下 Cisco 产品运行AnyConnect 远程访问VPN,而配置的ASA软件和 FTD软件:

  1. 3000 Series Industrial Security Appliances (ISA),
  2. ASA 5500 Series Adaptive Security Appliances,
  3. ASA 5500-X Series Next-Generation Firewalls,
  4. ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers,
  5. Adaptive Security Virtual Appliance (ASAv),
  6. Firepower 2100 Series Security Appliance,
  7. Firepower 4100 Series Security Appliance,
  8. Firepower 9300 ASA Security Module,
  9. FTD Virtual (FTDv).

SecurityFocus评价该漏洞

SecurityAffairs评价该漏洞

在运行ASA或FTD软件的受影响设备上,未经身份验证的远程攻击者利用CVE-2018-0229漏洞,可以建立经过验证的AnyConnect会话。CISCO发布的安全公告称。

“针对桌面平台,思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件实施Cisco AnyConnect安全移动客户端的安全声明标记语言(SAML)单点登录(SSO)身份验证的漏洞,可能允许未经身份验证的远程攻击者通过运行ASA或FTD软件的受影响设备建立经过身份验证的AnyConnect会话“。

“认证可以由不知情的第三方完成。”

 

据思科称,存在这个漏洞,是因为ASA或FTD软件没有任何机制检测认证请求是否直接来自AnyConnect客户端。

攻击者可以通过诱骗受害者点击专门制作的链接,并使用公司的身份提供商(IdP)进行身份验证来利用CVE-2018-0229漏洞。在这种情况下,攻击者可以劫持一个有效的身份验证令牌,并使用它来通过运行ASA或FTD软件的受影响设备建立并建立AnyConnect会话。


CVE-2018-0229漏洞影响范围

CVE-2018-0229漏洞涉及厂商

【增补中】

CVE-2018-0229漏洞涉及产品

此漏洞影响思科AnyConnect安全移动客户端以及针对以下思科产品上运行的AnyConnect远程访问VPN的基于SAML 2.0的SSO配置的ASA软件和FTD软件:

  • 3000系列工业安全设备(ISA)
  • ASA 5500系列自适应安全设备
  • ASA 5500-X系列下一代防火墙
  • 用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
  • 自适应安全虚拟设备(ASAv)
  • Firepower 2100系列安全设备
  • Firepower 4100系列安全设备
  • Firepower 9300 ASA安全模块
  • FTD虚拟(FTDv)

CVE-2018-0229漏洞影响版本

  • ASA软件9.7.1及更高版本易受攻击,
  • FTD软件6.2.1及更高版本,
  • AnyConnect 4.4.00243及更高版本。

CVE-2018-0229漏洞解决方案

【增补中】

思科声明

客户应根据本节中的表格中的指示升级到适当的版本。为帮助确保完整的升级解决方案,请考虑此通报是包含以下建议的集合的一部分:

更详细信息请查阅

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-asaanyconnect

{CVE-2018-0229漏洞信息发布组织}声明

【增补中】

CVE-2018-0229漏洞安全加声明

本页信息用以描述CVE-2018-0229漏洞的信息,这些信息便于您对CVE-2018-0229漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-0229漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2018-0229漏洞相关内容

CVE-2018-0229漏洞相关漏洞

漏洞列表
 

CVE-2018-0229漏洞相关文章

2018年2月,思科ASA防火墙远程代码执行漏洞CVE-2018-0101 可完全控制设备,PV 1566

2017年12月,思科下一代防火墙ASA等产品信息泄露漏洞CVE-2017-12373/17428,PV 7654

2016年9月,思科产品再现0Day漏洞CVE-2016-6366 他们用“影子经纪人”泄露的程序 自己发现了EXTRABACON,PV 6200

发表评论