关于Cisco ASA Software安全漏洞情况的通报

近日，国家信息安全漏洞库(CNNVD)收到XPwn未来安全探索盛会组委会关于北京长亭科技发现的CiscoASA(Adaptive Security Appliance)防火墙设备缓冲区溢出漏洞的情况报送。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误，攻击者可利用该漏洞对内存数据进行覆盖，从而执行任意代码。

由于该漏洞影响范围较广，危害较为严重，根据CNNVD相关规定，已对此漏洞进行收录，并分配编号CNNVD-201610-564。

一、漏洞简介

Cisco Adaptive Security Appliances(ASA，自适应安全设备)Software是美国思科(Cisco)公司的一套运行于防火墙中的操作系统。

Cisco ASA Software的Identity Firewall功能存在缓冲区溢出漏洞(漏洞编号：CNNVD-201610-564，CVE-2016-6432)。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误。攻击者可通过发送恶意的数据包利用该漏洞执行任意代码，获取系统的完全控制权，或造成受影响系统重载。

经思科官方确认，如下产品可能受此漏洞影响：

-Cisco ASA5500 Series Adaptive Security Appliances

-Cisco ASA5500-X Series Next-Generation Firewalls

-CiscoCatalyst 6500 Series/7600 Series ASA Services Module

-Cisco ASA1000V Cloud Firewall

-CiscoAdaptive Security Virtual Appliance (ASAv)

-Cisco ASAfor Firepower 9300 Series

-Cisco ASAfor Firepower 4100 Series

-Cisco ISA3000 Industrial Security Appliance

二、漏洞危害

攻击者以任何方式连接入受影响设备所在内网后，可通过构造恶意数据包的方式，使该设备产生溢出错误，从而执行任意代码，控制该防火墙，导致对内网其他设备的进一步攻击，漏洞危害较为严重。

三、修复措施

目前思科公司已发布该漏洞的修复补丁，受影响用户可通过如下方式修复该漏洞：

1. 用户可通过如下配置命令,关闭存在问题的协议以规避风险：

ciscoasa# configure terminal ciscoasa(config)# no user-identity logout-probe netbios local-system

2. 用户可通过公告链接中的修复流程，查看使用的防火墙型号，根据型号进行升级。