思科ASA SSL VPN爆权限提升漏洞

安全
日前,国外安全公司Trustwave研究员Jonathan Claudius发现Cisco ASA 5500系列平台存在一个权限提升漏洞,Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。

日前,国外安全公司Trustwave研究员Jonathan Claudius发现Cisco ASA 5500系列平台存在一个权限提升漏洞,Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。

[[112371]]

Cisco Adaptive Security Appliance (ASA) Software 8.2(5.48)之前版本、8.3(2.40)之前版本、8.4(7.9)之前版本、8.6(1.13)之前版本、9.0(4.1)之前版本、9.1(4.3)之前版本在SSL VPN门户连接中的权限验证时,没有正确处理管理会话信息,这可使经过身份验证的远程用户通过建立无客户端SSL VPN会话并输入特制的URL,利用此漏洞获取权限。

攻击者可以利用该漏洞修改防火墙规则,以及删除所有防火墙规则,并可以通过设备截获所有流量。

Jonathan Claudius在美国芝加哥的Thotcon上演示了该漏洞,并表示会将该漏洞的利用exp写到Metasploit模块里面。

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.cisco.com/go/psirt

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2010-03-08 14:18:51

2009-12-04 19:29:33

2011-05-03 09:22:41

2011-04-13 08:34:18

SSL VPN深信服

2012-09-26 09:49:44

2016-08-31 00:47:23

2009-06-18 15:46:37

SSL VPN中国移动Array

2009-04-11 21:41:00

2012-09-27 09:51:00

2012-09-27 10:21:00

2021-06-04 12:11:29

Huawei无线上网卡漏洞

2022-02-10 11:52:10

Windows漏洞Windows 10

2012-12-12 10:26:03

路由器VPN网络设备

2011-05-10 14:03:12

2013-03-26 10:03:20

2009-09-02 18:33:45

2010-06-10 23:53:24

SSL VPN深信服科技

2011-04-19 09:47:14

2022-08-04 18:56:28

思科漏洞VPN 路由器

2020-10-12 10:28:15

漏洞内存破坏网络攻击
点赞
收藏

51CTO技术栈公众号