思科公司是全球領先的網絡解決方案供應商，該公司致力于為無數的企業構筑網絡間暢通無阻的“橋梁”，并用自己敏銳的洞察力、豐富的行業經驗、先進的技術，幫助企業把網絡應用轉化為戰略性的資產，充分挖掘網絡的能量，獲得競爭的優勢。如今，思科公司已成為了公認的全球網絡互聯解決方案的領先廠商，其提供的解決方案是世界各地成千上萬的公司、大學、企業和政府部門建立互聯網的基礎，用戶遍及電信、金融、服務、零售等行業以及政府部門和教育機構等。

但是安全研究人員在近期的研究中發現，思科公司的ASA防火墻軟件中存在一個安全漏洞，這個漏洞允許遠程攻擊者能夠在沒有經過身份驗證的情況下，對受影響的目標系統進行攻擊，甚至還能夠遠程執行惡意代碼。

[[162821]]

最近這段時間對于各大IT廠商而言，是一段非常黑暗的時期。近期，安全社區在當前幾款熱門的IT產品中發現了大量嚴重的安全漏洞，相關的產品有瞻博公司的網絡設備以及Fortinet的Forti操作系統防火墻。

“風水”輪流轉，現在輪到了思科公司。ASA系列的防火墻是思科公司所推出的下一代防火墻安全解決方案，它是提供了新一代的安全性和VPN服務的模塊化平臺。企業可以根據特定需求定購不同版本，做到逐步購買、按需部署，靈活方便地實現安全功能的擴展。

思科ASA自適應安全設備實際上是一種IP路由器，它可以作為應用層的防火墻，網絡反病毒軟件，入侵防御系統，以及虛擬專用網絡(VPN)服務器來使用。

但是思科公司表示，目前最嚴重的問題就在于，現在有上百萬的ASA防火墻已投入使用，所以這一產品漏洞將會產生巨大的影響。

Exodus Intelligence的安全研究專家David Barksdale, Jordan Gruskovnjak以及Alex Wheeler發現，思科的ASA防火墻設備中存在一個嚴重的緩沖區溢出漏洞(CVE-2016-1287)，CVSS(通用漏洞評分系統)給此漏洞的評級為10分。

Exodus Intelligence的安全研究人員在他們所發布的公告中說到：“思科分段協議中的IKE網絡密鑰交換算法存在一個設計缺陷，這個漏洞將會允許攻擊者在目標系統中引起堆緩沖區溢出。攻擊者在為payload精心設計了相應參數之后，便會將payload加載至目標設備的緩沖區中，這樣便能夠引起緩沖區的分配空間不足，從而引起堆緩沖區溢出。除此之外，攻擊者還能夠利用這個漏洞從而在受影響設備中遠程執行任意代碼。”

攻擊者只需要向存在漏洞的思科ASA防火墻設備發送特制的UDP數據包，就能夠輕而易舉地利用ASA防火墻設備中所存在的安全漏洞。值得一提的是，這些漏洞還能夠允許攻擊者獲取到目標系統的完整控制權。

這將會帶來非常可怕和深遠的影響，因為我們還需要考慮到的是，全世界目前已經有上百萬的思科ASA系列防火墻已經正式投入使用了。

思科公司在其官方公告中表示：“在思科ASA系列防火墻軟件的互聯網密鑰交換協議的v1(IKE v1)和v2(IKE v2)版本中存在一個安全漏洞，這個漏洞將允許遠程攻擊者能夠在沒有經過身份驗證的情況下，對受影響的目標系統進行攻擊，而且攻擊者甚至還能夠在目標設備中遠程執行惡意代碼。”

“根據安全研究人員對漏洞代碼的研究顯示，這個漏洞將會在目標設備上引起緩沖區溢出等問題。攻擊者只需要向存在漏洞的思科ASA防火墻設備發送特制的UDP數據包，就能夠輕而易舉地利用ASA防火墻設備中所存在的這一安全漏洞。值得一提的是，這些漏洞還能夠允許攻擊者獲取到目標系統的完整控制權。”

到底有那些設備會受到漏洞影響呢?

下列運行了思科ASA防火墻軟件的設備將有可能受到這一漏洞的影響：

◆思科ASA 5500系列自適應安全設備

◆思科ASA 5500-X系列下一代防火墻

◆思科Catalyst 6500系列交換機的思科ASA服務模塊

◆思科7600系列路由器

◆思科ASA 1000V云防火墻

◆思科自適應安全虛擬設備(ASAV)

◆思科Firepower 9300 ASA安全模塊

◆思科ISA 3000工業安全設備

如果你正在使用的設備也出現在了上面這個列表之中，請您盡快修復產品中的漏洞。