Cisco

監控最新版本的思科自適應安全設備 (ASA)

  • July 23, 2018

如何通過外部監控自動檢查您的 Cisco ASA 是否正在執行最新版本或不易受攻擊的版本?

使用 SNMP,您可以獲得 ASA 的版本號:

$ snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0
iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"

但是我找不到任何東西(URL/API/CVE 數據庫)來比較它,或者測試那個版本是否有已知的漏洞。

我能找到的各種 Nagios 外掛(如check_snmp_checklevelnm_check_version)也沒有這樣做。它們僅允許根據配置文件中的版本進行驗證。

這樣的頁面有版本資訊,但是解析當然是不可靠的。

Cisco ASA 具有“檢查更新”功能,它必須檢查某種 URL,但我們沒有 cisco.com 帳戶。而且我不知道 URL 是什麼,它可能是 https,所以嗅探它並沒有幫助。話雖如此,如果人們知道受密碼保護的更新 URL,我很樂意接受。

編輯:它更複雜,因為這個 CVE聲明對於版本 9.8,版本 9.8.2.28 已修補。但是該更新檔級別在 SNMP 中不可見,在“關於 ASA”下的 GUI 中也不可見……

其他人向我指出,互動式 Web 表單請求獲取有關版本的 JSON 數據的 URL 。

它甚至有一個欄位isSuggested,所以你不需要知道它是否是最新的功能版本,而只是你的功能分支,你有建議的版本。

它看起來有點像一個可能會在某些時候發生變化的 URL,但它確實有效。

瀏覽該文件,我可以看到您的問題從哪裡開始。

嘗試執行此命令show version | include image,您應該會看到如下輸出:System image file is "disk0:/asa982-28-smp-k8.bin"

根據我在Cisco 臨時版本說明中看到的內容,這將是檢索版本和建構資訊的直接方式。

在這種情況下

Revision: Version 9.8(2)28 – 04/18/2018 Files: asa982-28-smp-k8.bin

看起來版本資訊嵌入在文件名中。

Version X.Y(I)J File: asaXYI-J-smp-k8.bin

這當然是一個雜碎,但你可以:

  1. 讓 Nagios SSH 進入 ASA
  2. 擷取show version | include image
  3. 將文件名解析為版本名。
  4. 對照一些外部來源檢查版本。
  5. 將成功或失敗返回到 nagios。

更新根據您的評論:

如果您不想解析已經為數據列出的網頁,您將需要一些繁重的工作。必須有人將供應商更新檔、供應商安全公告和 CVE 關聯在一起。這是一個不平凡的過程。

NessusOpenVAS具有嘗試連結這三種類型數據的安全源。

這些工具以及其他類似工具將掃描您的網路,將版本和配置與最低版本或配置基線進行比較。創建包含建議的報告。然後隨著時間的推移跟踪您在解決這些最低級別方面的進展。

如果您不想執行所有這些操作,最好解析網頁並掌握 Cisco ASA 的 CVE。

引用自:https://serverfault.com/questions/920474