关键漏洞信息总结 漏洞概述 名称: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPsec IKEv2 VPN Information Disclosure Vulnerability ID: cisco-sa-asaftd-ipsec-mitm-CKnLr4 CVE ID: CVE-2022-20742 CVE-325: CWE-325 CVSS Base Score: 7.4 严重性: High 漏洞描述 成因: IPsec VPN库对Galois/Counter Mode (GCM)密码体制的实现不当。 影响: 未认证的远程攻击者可以通过在受影响的IPsec IKEv2 VPN隧道中拦截足够的加密消息,并使用密码分析技术来破解加密,从而对数据进行读取、修改和重加密。 影响的产品 受影响的产品: Cisco ASA Software和Cisco FTD Software某些版本下的多种Firepower设备和Firepower 9300 Security Appliances。 不受影响的产品: 包括3000系列工业安全设备、ASA 5505系列、ASA 5500-X系列等。 临时解决办法 工作原理: 重新配置所有现有的IPsec IKEv2提议使用非GCM密码。 解决方案 软件更新: Cisco发布了免费软件更新,包括ASA Software和FTD Software的多个版本。 购买合同: 持有服务合同的客户应通过正常软件更新渠道获取安全修复。 无缝更新: 对于没有服务合同的客户,应联系Cisco技术支持中心(TAC)或签订合同的维护提供商获取升级。 公开披露和利用情况 公告: Cisco PSIRT未发现任何公开公告或恶意利用该漏洞的情况。此漏洞是在内部安全测试中发现的。 URL Cisco Security Advisory