監控最新版本的思科自適應安全設備 (ASA)
如何通過外部監控自動檢查您的 Cisco ASA 是否正在執行最新版本或不易受攻擊的版本?
使用 SNMP,您可以獲得 ASA 的版本號:
$ snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0 iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"
但是我找不到任何東西(URL/API/CVE 數據庫)來比較它,或者測試那個版本是否有已知的漏洞。
我能找到的各種 Nagios 外掛(如check_snmp_checklevel和nm_check_version)也沒有這樣做。它們僅允許根據配置文件中的版本進行驗證。
像這樣的頁面有版本資訊,但是解析當然是不可靠的。
Cisco ASA 具有“檢查更新”功能,它必須檢查某種 URL,但我們沒有 cisco.com 帳戶。而且我不知道 URL 是什麼,它可能是 https,所以嗅探它並沒有幫助。話雖如此,如果人們知道受密碼保護的更新 URL,我很樂意接受。
編輯:它更複雜,因為這個 CVE聲明對於版本 9.8,版本 9.8.2.28 已修補。但是該更新檔級別在 SNMP 中不可見,在“關於 ASA”下的 GUI 中也不可見……
其他人向我指出,互動式 Web 表單請求獲取有關版本的 JSON 數據的 URL 。
它甚至有一個欄位
isSuggested
,所以你不需要知道它是否是最新的功能版本,而只是你的功能分支,你有建議的版本。它看起來有點像一個可能會在某些時候發生變化的 URL,但它確實有效。
瀏覽該文件,我可以看到您的問題從哪裡開始。
嘗試執行此命令
show version | include image
,您應該會看到如下輸出:System image file is "disk0:/asa982-28-smp-k8.bin"
根據我在Cisco 臨時版本說明中看到的內容,這將是檢索版本和建構資訊的直接方式。
在這種情況下
Revision: Version 9.8(2)28 – 04/18/2018 Files: asa982-28-smp-k8.bin
看起來版本資訊嵌入在文件名中。
Version X.Y(I)J File: asaXYI-J-smp-k8.bin
這當然是一個雜碎,但你可以:
- 讓 Nagios SSH 進入 ASA
- 擷取
show version | include image
- 將文件名解析為版本名。
- 對照一些外部來源檢查版本。
- 將成功或失敗返回到 nagios。
更新根據您的評論:
如果您不想解析已經為數據列出的網頁,您將需要一些繁重的工作。必須有人將供應商更新檔、供應商安全公告和 CVE 關聯在一起。這是一個不平凡的過程。
Nessus和OpenVAS具有嘗試連結這三種類型數據的安全源。
這些工具以及其他類似工具將掃描您的網路,將版本和配置與最低版本或配置基線進行比較。創建包含建議的報告。然後隨著時間的推移跟踪您在解決這些最低級別方面的進展。
如果您不想執行所有這些操作,最好解析網頁並掌握 Cisco ASA 的 CVE。