2020年7月22日，Cisco 发布安全公告，修复了一个Adaptive Security Appliance(ASA)和Firepower Threat Defense(FTD)软件的目录遍历漏洞(CVE-2020-3452)。

漏洞详情

Cisco Adaptive Security Appliances Software 是一套防火墙和网络安全平台。该平台主要用于对数据和网络资源的高度安全的访问等，Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。 该漏洞源于 ASA 和 FTD 的 web 服务接口存在漏洞，允许未经身份验证的远程攻击者向受影响的设备发送一个精心制作的HTTP请求，成功利用该漏洞的攻击者能够进行目录遍历攻击并读取目标系统上的敏感文件。

注意：该漏洞目前仅影响启用了AnyConnect或WebVPN配置的设备，并且此漏洞不能用于访问ASA或FTD系统文件或底层操作系统(OS)文件。

影响范围

Cisco ASA：<= 9.6 Cisco ASA：9.7 , 9.8 , 9.9 , 9.10 , 9.12 , 9.13 , 9.14 Cisco FTD：6.2.2 , 6.2.3 , 6.3.0 , 6.4.0 , 6.5.0 , 6.6.0

易受攻击的配置如下

Cisco ASA：

Cisco FTD：

修复建议

目前厂商已发布新版本，详见下表，左列是受该漏洞影响的软件版本，右列是厂商发布的更新版本：

Cisco ASA：

Cisco ASA软件9.5版及更早版本以及9.7版已经停止维护。

Cisco FTD：

Cisco FTD Hot Fix 细节:

升级Cisco FTD版本，用户可以选择以下其中一个方法执行：

1.对于使用Cisco Firepower Management Center(FMC)的设备，请使用FMC界面安装升级。安装完成后，重新应用访问控制策略。 2.对于使用Cisco Firepower Device Manager (FDM)的设备，请使用FDM界面来安装升级。安装完成后，重新应用访问控制策略。

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86