Cisco 自适应安全设备 (ASA) 软件的远程访问 VPN 功能中存在漏洞，可允许未经身份验证的远程攻击者发动暴力破解攻击，尝试识别有效的用户名和密码组合。此漏洞是由于未正确分离远程访问 VPN 功能、HTTPS 管理与站点到站点 VPN 功能之间的认证、授权和核算 (AAA)。攻击者在执行暴力攻击时，可通过指定默认连接配置文件/通道群组来利用此漏洞。若成功利用此漏洞，攻击者便可识别随后可用于建立未经授权的远程访问 VPN 会话的有效凭据。注意：无法建立基于客户端的远程访问 VPN 通道，因为这些默认连接配置文件/通道组没有也不能配置 IP 地址池。此漏洞不允许攻击者绕过认证。要成功建立远程访问 VPN 会话，在配置了多重身份验证 (MFA) 的前提下，需要使用包含有效第二因素的有效凭据。

请参阅随附的 Cisco BID 和 Cisco 安全公告，了解更多信息。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Cisco 自适应安全设备软件远程访问 VPN 未经授权的访问 - 暴力破解攻击 (cisco-sa-asaftd-ravpn-auth-8LyfCkeC)

critical Nessus 插件 ID 182523

版本 1.0