安全社区

尊敬的海峡用户：
近期，我公司安全服务中心研究团队关注并跟踪NSA（美国国家安全局）被入侵事件。该事件泄露大量针对防火墙安全漏洞的利用工具，此次涉及如Cisco ASA，Cisco PIX、Juniper、飞塔及天融信等品牌防火墙。
近日，我安全研究团队研究并获取到了黑客组织泄漏的防火墙攻击工具，对工具进行了深入分析后，确认了可能存在安全漏洞的防火墙型号、软件版本等信息，在此进行通告。
【风险分析】
此次公布的攻击代码，主要用于对防火墙的扫描发现、穷举爆破、漏洞利用代码、远程控制等内容。这些工具可用于解密VPN流量（方法是发送包至目标设备，转储内存中包含VPN认证密码的部分），实现对加密通道进行监听的目的。
另外，还可用于对受影响系统发起远程执行代码攻击，执行任意代码，并且获得系统的完整控制权。
【受威胁对象】
截止目前已公布的攻击代码中，涉及的各厂商及型号如下：

厂商	涉及软件版本
Cisco	IOS 7.2、8.0、8.1、8.2、8.3、8.4、8.5、8.6、8.7、9.0、9.1、9.2、9.3、9.4、9.5、9.6
天融信	3.3.005.097（不含）之前版本 3.3.010.095（不含）之前版本 3.3.017.056（不含）之前版本 3.3.020.053（不含）之前版本
飞塔	4.3.8及更低版本 4.2.12及更低版本 4.1.10及更低版本
Juniper	Juniper NetScreen 防火墙全系列产品（包括NS-ISG1000、NS-ISG2000、NS-25等）

 
【发布日期】 2016-9-1
【修复方案】
各厂商已发布升级补丁，可通过补丁更新的方式，规避风险。如果无法尽快升级，则可以采取关闭WebUI、GUI、SSH、Telnet等远程管理权限，进行快速应急处置。
l  思科
建议自Cisco官方网站，根据目前使用的ASA ios版本选取对应的升级版本，完升级工作。

涉及版本	修复版本
7.2	升级至9.1.7(9) 或以上版本
8.0
8.1
8.2
8.3
8.4
8.5
8.6
8.7
9.0	9.0.4(40)
9.1	9.1.7(9)
9.2	9.2.4(14)
9.3	9.3.3(10)
9.4	9.4.3(8)
9.5	9.5(3)
9.6 (FTD)	9.6.1(11)
9.6 (ASA)	9.6.2
Cisco ios 9.1.7 下载地址 https://software.cisco.com/download/release.html?mdfid=284143092&flowid=31542&softwareid=280775065&release=9.1.7%20Interim&relind=AVAILABLE&rellifecycle=&reltype=latest

 
l  天融信
1)  应急处理——关闭WebUI、GUI等管理权限，进行快速处置；
2)  登录厂商提供的FTP服务器，获取版本进行升级。或联系售后保障
人员进行升级操作。
l  飞塔
升级至任何FortiOS 5.X版本；如产品无法升级至FortiOS 5.X版本，可升级至4.3.9或更高版本。
l  Juniper
目前Juniper官方暂未对外发布补丁更新，建议严格控制设备的可访问权限，关闭WebUI、GUI等管理权限，进行应急处理，后期带Juniper官网发布更新后，及时进行补丁更新工作。