CNVD-2018-08434

Cisco 3000 Series Industrial Security Appliances（ISA）等都是美国思科（Cisco）公司的不同系列的安全防火墙设备。AnyConnect Secure Mobility Client、Adaptive Security Appliance（ASA）Software和Firepower Threat Defense（FTD）Software都是使用在其中的软件。AnyConnect Secure Mobility Client是一款用于管理防火墙的桌面应用程序。Adaptive Security Appliance（ASA）Software和Firepower Threat Defense（FTD）Software都是运行在设备中的防火墙系统。 多款Cisco产品中的AnyConnect Secure Mobility Client（桌面平台）、ASA Software和FTD Software的Security Assertion Markup Language(SAML)Single Sign-On(SSO)身份验证的实现存在会话固定漏洞，该漏洞源于ASA或FTD软件未能实现任何机制来检测认证请求是否直接来自AnyConnect客户端。远程攻击者可通过诱使用户打开特制的链接并使用该公司的身份提供商（IdP）利用该漏洞劫持有效的身份验证令牌并创建已认证的AnyConnect会话。