SAML 身份验证系统漏洞（CVE-2018-0229） 影响思科 Firepower、AnyConnect 和 ASA 产品

近日，思科发布了一组安全补丁来解决安全声明标记语言（SAML）中的 CVE-2018-0229 漏洞。该漏洞可能允许未经身份验证的远程攻击者通过运行 ASA 或 FTD 软件的受影响设备建立经过验证的 AnyConnect 会话。

CVE-2018-0229 漏洞影响以下思科解决方案：

AnyConnect 桌面移动客户端的单点登录身份验证;

自适应安全设备（ASA）软件;

Firepower威胁防御（FTD）软件。

思科表示，存在这个缺陷是因为 ASA 或 FTD 软件没有实现任何机制来检测认证请求是否直接来自 AnyConnect 客户端，以至于攻击者可以通过欺骗受害者点击专门制作的链接并使用公司的身份提供商（IdP）进行身份验证来利用 CVE-2018-0229 漏洞。在这种情境下，攻击者可以劫持一个有效的身份验证令牌，并使用它来通过运行 ASA 或 FTD 软件的受影响设备建立并建立 AnyConnect 会话。

CVE-2018-0229 漏洞影响思科 AnyConnect 安全移动客户端，以及针对以下在思科产品上运行的AnyConnect 远程访问 VPN 的、基于 SAML 2.0 的 SSO 配置的 「ASA 软件和 FTD 软件」：

3000 系列工业安全设备（ISA）

ASA 5500 系列自适应安全设备

ASA 5500-X 系列下一代防火墙

用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块

自适应安全虚拟设备（ASAv）

Firepower 2100 系列安全设备

Firepower 4100 系列安全设备

Firepower 9300 ASA 安全模块

FTD 虚拟（FTDv）

目前思科确认，只有运行版本 9.7.1 及更高版本的 ASA 软件、运行版本 6.2.1 及更高版本的 FTD 软件、AnyConnect 4.4.00243 及更高版本易受攻击。