Что нового

News Cisco трещит по швам (CVE-2020-3452, CVE-2020-3187)

MRX 0

MRX

Advanced
23.05.2020
49
134
cisco.jpeg

На этой неделе были найдены серьезные уязвимости в Cisco ASA и Cisco Firepower. Первая уязвимость позволяет читать системные файлы (CVE-2020-3452), а вторая(CVE-2020-3187) их удалять. Эти уязвимости были найдены в веб-интерфейсе и с помощью простых HTTP запросов можно вырубить WebVPN. Это особенно актуально в период всемирного карантина, если сотрудники компаний используют программное обеспечение Cisco для организации удаленной работы.

Описание уязвимостей CVE-2020-3452 и CVE-2020-3187

Эти уязвимости затрагивают веб-интерфейс программного обеспечения Cisco ASA и Cisco Firepower. С помощью этих уязвимостей можно читать и удалять файлы на сервере без какой-либо авторизации. Уязвимость(CVE-2020-3452) позволяет выйти из каталога с помощью специального HTTP-запроса и прочитать файлы веб-директорий. Уязвимость(CVE-2020-3187) позволяет удалить эти файлы на сервере. Информация о таких недостатках работы ПО Сisco появилась не так давно, но для нее уже есть рабочие Proof of Concept.

POC #1

https://<domain>/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../

POC #2

https://<domain>/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua

Как найти потенциально уязвимые хосты?

Чтобы проэксплуатировать эту уязвимость, достаточно найти веб-интерфейсы с помощью поисковой системой или Shodan. Потом отправить HTTP-запрос. Если в ответ мы получаем содержание файла, то приложение является уязвимой.

По запросу в Google доступно 511 результатов. Понятно, что не все приложения могут быть уязвимы, но в целом это большой пул для экспериментов.

Google: inurl:+CSCOE+/logon.html



Количество потенциально уязвимых серверов в Google
В Shodan результатов на момент публикации статьи 4268. Больше всего этих приложений в Америке.

Shodan: title:"SSL VPN service"



Количество потенциально уязвимых серверов в Shodan.

В компании Cisco выпустили патч поэтому часть устройств уже были пропатчены. Чтобы проверить обновлены ли версии Cisco ASA и Cisco Firepower нужно отправить запрос и проверить наличие файла session_password.html:

/+CSCOE+/session_password.html -> 200 = Уязвимо
/+CSCOE+/session_password.html -> 404 = Пропатчено
Также, доступен скрипт для инструмента Nmap. Логика работы скрипта абсолютна проста, проверяется наличие файла portal_inc.lua.

# nmap --script http-vuln-cve2020-3452 -p <port> <host>



Результат выдачи работы скрипта NmapЧитаем и удаляем файл с помощью уязвимостей Cisco
После того, как найдено уязвимое приложение нужно отправить HTTP запрос к файлу portal_inc.lua с использованием POC #1 или POC #2, которые были указаны в начале статье. Это можно сделать с помощью инструмента BurpSuite или отправить вручную. Если приложения уязвимы получим следующий ответ:

POC #1

https://<domain>/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../



Содержимое файла portal_inc.lua посредством POC #1

POC #2

https://<domain>/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua



Содержимое файла portal_inc.lua посредством POC #2

Информация о том, как можно удалить файл доступна по линку. Также отправляется HTTP запрос на уязвимый веб-интерфейс. Файл, который нужно удалить, передается в значении переменной token. На скриншоте можно увидеть пример, как удалить стандартный логотип, который не будет отображаться после выполнения запроса.



Удаление файлов с помощью уязвимости CVE-2020-3187

Заключение

Две уязвимости CVE-2020-3452 и CVE-2020-3187 в Cisco ASA и Cisco Firepower являются достаточно серьезным ударом по клиентам Cisco. Первая уязвимость позволяет читать файлы, а вторая — удалять файлы. Это говорим о том, что удалив системные файлы, можно вызвать перезагрузку устройства и остановить работу интерфейса WebVPN. Простыми словами, можно остановить возможность удаленной работы сотрудников компании.

Казалось бы, две простые в эксплуатации могут вызвать серьезные последствия для любой компании. Да, уже есть патчи этих уязвимостей, но далеко не все смогут их оперативно исправить. Поэтому остается большой риск что многие компании могут попасть под пристальное внимание хакеров.
 
Последнее редактирование модератором:
gx6060 0

gx6060

Команда форума
10.11.2019
75
101
Необходимо указать источник, понятно что это из телеги и все скрины в ссылках, но всё же.
 
Верх Низ