思科 SAML 执行中存在bug 影响AnyConnect 等三款产品

翻译：360代码卫士团队

思科已宣布推出一系列补丁，修复声明标记语言 (SAML) 执行中的一个 bug。

和常见的语言问题一样，这个 bug 也继承于多款产品。比如 CVE-2018-0229 影响的系统包括：

• AnyConnect 桌面移动客户端单点登录认证；

• 自适应安全设备 (ASA) 软件；以及

• Firepower威胁防御 (FTD) 软件。

思科在安全公告中表示，这个 bug 为攻击者访问 ASA 或 FTD 软件提供了攻击向量，前提是他们能诱骗用户连接至这些安全设备上。

安全公告解释称，“这个漏洞存在的原因是，ASA 或 FTD 软件在并不存在能检测到认证请求直接源自 AnyConnect 客户端的机制……通过说服用户点击一个特别构造的链接和使用思科身份提供商进行认证的方式，攻击者就能利用这个漏洞。”

钓鱼攻击成功后，攻击者可劫持用户的认证令牌并通过 ASA 或 FTD 软件为企业网络设置 AnyConnect 会话。

如果被配置为提供经由 AnyConnect VPN基于 SAML 2.0的单点登录，那么 ASA 和 FTD 软件易受攻击，会话会在如下设备终止：3000系列工业安全设备、ASA 5500 和 5500-X 设备、Catalyst 6500 交换机或7600路由器中的 ASA 模块；虚拟化的 ASA (ASAv)、Firepower 2100 或4100 设备、Firepower 9300 ASA 模块或虚拟的 FTD 软件 (FTDv)。

该漏洞是在 ASA 软件版本 9.7.1、FTD 软件 6.2.1 和 AnyConnect 4.4.00243 中被引入的。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。