使用SNMP,您可以获取ASA的版本号:
$snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0 iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"
但我找不到任何内容(URL / API / CVE数据库)来与之进行比较,或者测试该版本是否存在已知漏洞.
我能找到的各种Nagios插件(如check_snmp_checklevel和nm_check_version)也不这样做.它们只允许在配置文件中验证版本.
Cisco ASA具有“检查更新”功能,该功能必须具有其检查的某种URL,但我们没有cisco.com帐户.我不知道URL是什么,它可能是https,所以嗅探它并没有帮助.话虽如此,如果人们知道密码保护的更新URL,我很乐意接受它.
编辑:它更复杂,因为this CVE声明对于版本9.8,版本9.8.2.28进行了修补.但是该补丁级别在SNMP中不可见,也不在“关于ASA”的GUI中可见…
解决方法
尝试执行此命令show version |包括图像你应该看到如下输出:系统映像文件是“disk0:/asa982-28-smp-k8.bin”
从我在Cisco Interim Release Notes中看到的,这将是检索发布和构建信息的直接方式.
在这种情况下
修订版:版本9.8(2)28 – 04/18/2018
文件:asa982-28-smp-k8.bin
看起来版本信息嵌入在文件名中.
版本X.Y(I)J
文件:asaXYI-J-smp-k8.bin
这当然是一个障碍,但你可以:
>让Nagios SSH进入ASA
> Capture show版本|包括图像
>将文件名解析为版本名称.
>根据某些外部源检查版本.
>将成功或失败归入nagios.
更新根据您的评论:
如果你不想为数据列出parse the webpage,你将需要一些重任务.有人必须将供应商补丁,供应商安全建议和CVE联系在一起.这是一个非繁琐的过程.
Nessus和OpenVAS具有尝试链接这三种类型数据的安全馈送.
这些工具和其他类似工具将扫描您的网络,比较版本和配置与最低版本或配置基线.创建包含建议的报告.然后跟踪您在解决这些最低级别时的进度.
如果你不想做所有这些,你可能最好解析网页并保持在Cisco ASA的CVE之上.
