思科ASASSLVPN爆权限提升漏洞

日前，国外安全公司Trustwave研究员Jonathan Claudius发现Cisco ASA 5500系列平台存在一个权限提升漏洞，Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。

Cisco Adaptive Security Appliance (ASA) Software 8.2(5.48)之前版本、8.3(2.40)之前版本、8.4(7.9)之前版本、8.6(1.13)之前版本、9.0(4.1)之前版本、9.1(4.3)之前版本在SSL VPN门户连接中的权限验证时，没有正确处理管理会话信息，这可使经过身份验证的远程用户通过建立无客户端SSL VPN会话并输入特制的URL，利用此漏洞获取权限。

攻击者可以利用该漏洞修改防火墙规则，以及删除所有防火墙规则，并可以通过设备截获所有流量。

Jonathan Claudius在美国芝加哥的Thotcon上演示了该漏洞，并表示会将该漏洞的利用exp写到Metasploit模块里面。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cisco.com/go/psirt

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa

本文标题：思科ASASSLVPN爆权限提升漏洞
分享URL：http://www.hantingmc.com/qtweb/news21/379721.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联