思科修复了一个高危且已遭利用的只读路径遍历漏洞 (CVE-2020-3452),它影响两款防火墙产品的 web 服务接口。
如遭成功利用,该漏洞可能导致未认证攻击者通过目录遍历攻击读取未修复系统上的敏感文件。受影响的产品为思科自适应安全设备 (Cisco Adaptive Security (ASA)Software)(用于独立设备、刀片服务器和虚拟设备的操作系统,用于保护数据中心和企业网络)和思科 Firepower 威胁防御软件(Cisco Firepower Threat Defense(FTD) Software)软件(提供下一代防火墙服务的统一软件)。CVE-2020-3452 是由对 HTTP 请求中 URL 的输入验证不当造成的,可导致攻击者向受影响设备发送具有目录遍历字符序列的特殊构造的 HTTP 请求,利用该漏洞。如利用成功,则可导致远程攻击者读取目标设备上的任意文件,而这些文件存储在web服务文件系统中。当受影响设备配置了 AnyConnect 或 WebVPN 功能后才会启用该文件系统。思科指出,“攻击者能够查看的 web 服务文件所含信息包括 WebVPN 配置、书签、web cookie、部分 web 内容和 HTTP URL。”然而,思科进一步解释称,“该漏洞无法用于获取对 ASA 或 FTD 系统文件或底层操作系统文件的访问权限。”虽然目前不存在应变措施,但思科发布了免费的安全更新。该漏洞是由 Positive Technologies 公司的研究员 Mikhail Klyuchnikov 和 RedForce 公司的研究员 AhmedAboul-Ela 和 Abdulrahman Nour 独立报告的。就在思科公布了漏洞安全公告后,就不得不增加了公开的 exploit 代码信息(一个公开的 PoC 未认证文件读取 exploit 和一个 NMAP 脚本)。在同一天,思科警告称出现活跃利用的情况,督促客户立即更新产品以拦截攻击,以免未修复设备的敏感信息遭访问。思科指出,“思科已发现公开 exploit 代码和利用,建议受影响产品的用户尽快升级至修复版本。”当天晚些时候,网络安全公司 Rapid7 表示发现“8.5万多台 ASA/FTD 设备,其中398台位于17%的财富500强公司。”该公司指出,自2016年修复另外一个 ASA 安全缺陷的补丁发布后,仅有约10%的 ASA/FTD 设备被重启,这可能说明这些设备修复了 CVE-2020-3452。Rapid7 公司还发现,“在财富500强检测到的398台设备中,仅有27台设备被打上补丁/重启。”上上周,思科还发布安全更新,解决了严重的预认证远程代码执行漏洞、认证绕过漏洞和静态默认凭据漏洞,它们影响多款路由器和防火墙设备,可导致设备完全遭接管。
https://www.bleepingcomputer.com/news/security/cisco-patches-asa-ftd-firewall-flaw-actively-exploited-by-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~