近日，国家信息安全漏洞库（CNNVD）收到XPwn未来安全探索盛会组委会关于北京长亭科技有限公司发现的Cisco ASA（Adaptive Security Appliance）防火墙设备缓冲区溢出漏洞的情况报送。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误，攻击者可利用该漏洞对内存数据进行覆盖，从而执行任意代码。由于该漏洞影响范围较广，危害较为严重，根据CNNVD相关规定，已对此漏洞进行收录，并分配编号CNNVD-201610-564。

一、漏洞简介

Cisco Adaptive SecurityAppliances（ASA，自适应安全设备）Software是美国思科（Cisco）公司的一套运行于防火墙中的操作系统。

Cisco ASA Software的Identity Firewall功能存在缓冲区溢出漏洞（漏洞编号：CNNVD-201610-564，CVE-2016-6432）。该漏洞源于Cisco ASA防火墙对NetBIOS协议数据解析时产生溢出错误。攻击者可通过发送恶意的数据包利用该漏洞执行任意代码，获取系统的完全控制权，或造成受影响系统重载。

经思科官方确认，如下产品可能受此漏洞影响：

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco Catalyst 6500 Series/7600 Series ASA Services Module
• Cisco ASA 1000V Cloud Firewall
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco ASA for Firepower 9300 Series
• Cisco ASA for Firepower 4100 Series
• Cisco ISA 3000 Industrial Security Appliance

二、漏洞危害

攻击者以任何方式连接入受影响设备所在内网后，可通过构造恶意数据包的方式，使该设备产生溢出错误，从而执行任意代码，控制该防火墙，导致对内网其他设备的进一步攻击，漏洞危害较为严重。

三、修复措施

目前思科公司已发布该漏洞的修复补丁，受影响用户可通过如下方式修复该漏洞：

1. 用户可通过如下配置命令,关闭存在问题的协议以规避风险：

ciscoasa# configure terminal
ciscoasa(config)# no user-identity logout-probe netbios local-system

2. 用户可通过公告链接中的修复流程，查看使用的防火墙型号，根据型号进行升级。

公告链接https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161019-asa-idfw

本报告由XPwn未来安全探索盛会组委会、北京长亭科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

联系方式：cnnvd@itsec.gov.cn。