شرکت سیسکو دوازده نقص امنیتی با سطح ریسک بحرانی را اعلام کرد که روی ASA و نرمافزار FDT اثر میگذارد.
شناسه آسیبپذیری:
CVE-2020-3187, CVE-2020-3125, CVE-2020-3195, CVE-2020-3191
سطح ریسک:
CVE-2020-3187:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Base Score: 9.1 Critical
CVE-2020-3125:
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Base Score: 8.8 High
CVE-2020-3195:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Base Score: 8.6 High
CVE-2020-3191:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Base Score: 8.6 High
نسخههای آسیبپذیری:
ASA و FDT
توضیحات:
بهروز رسانی منتشر شده توسط سیسکو شامل ۸ حمله DoS که روی امنیت نرمافزار، آسیبپذیری نشت اطلاعات، نقص نشت اطلاعات حافظه، یک آسیبپذیری path-traversal و دور زدن احراز هویت اثر میگذارد.
CVE-2020-3178:
این باگ توسط یک متخصص امنیتی از شرکت PT گزارش شد و حمله کننده با استفاده از فرستادن درخواستهای تغییر یافته HTTP که شامل کاراکترهای متوالی directory traversal است به هکر اجازه دیدن و پاک کردن فایل روی سیستم را میدهد. شرکت سیسکو اعلام کرد پس از راهاندازی مجدد سیستم بعد از اکسپلویت، تمام فایلهای پاک شده برمیگردنند. حمله کننده فقط میتواند فایلهای از نوع فایل سیستم وب سرویس را پاک و مشاهده کنند و این کار زمانی که تنظیمات سیستم با WebVPN و Anyconnect تنظیم شده باشند وقوع میپیوندند.
ویژگی های آسیب پذیر به این باگ امنیتی در ASA شامل :
Cisco ASA Feature | Vulnerable Configuration |
AnyConnect IKEv2 Remote Access (with client servises) | crypto ikev2 enable client-services port |
Anyconnect SSL VPN | webvpn enable <interface_name> |
Clientless SSL VPN | webvpn enable <interface_name> |
ویژگی های آسیب پذیر به این باگ امنیتی در FTD شامل :
Cisco FTD Feature | Vulnerable Configuration |
AnyConnect IKEv2 Remote Access (with client services) | crypto ikev2 enable <interface_name client-services port> |
AnyConnect SSL VPN | webvpn enable <interface_name> |
CVE-2020-3125:
این آسیبپذیری به دلیل عدم صحت سنجی درست احراز هویت Kerberos بر روی ASA است. حمله کننده میتواند با شنود پاسخ سرور KDC به تجهیزات ASA این نقص را اکسپلویت کند. پاسخ آلوده توسط KDC احرازهویت نمی شود. یک حمله موفق به حمله کننده اجازه دور زدن احراز هویت Kerberos را میدهد. این مشکل روی ASA که در آن تنظیمات احرازهویت Kerberos برای VPN یا دسترسی به تجهیزات لوکال انجام شده باشد اثر میگذارد. سیسکو همچنین اعلام کرد که بعد از نصب بهروز رسانی، مدیر سیستم هنوز باید تنظیمات را طوری تغییر دهد که این آسیبپذیری پوشش داده شود. اگر دستورات ٬alidate-kdc٬ و ٬aaa kerberos٬ به درستی در اینترفیس تنظیم شوند دیگر نمیتوان اکسپلوت تجهیزات ASA را انجام داد در غیراینصورت این تجهیزات هنوز آسیبپذیر هستند. این باگ نیز توسط یک تیم متخصص امنیتی به سیسکو اعلام گردید. در ادامه کامند بررسی پیکربندی نمودن kerberos ارایه شده است و اگر نام سرور Kerberos در جایی دیگر در تنظیمات آورده شده باشد به معنای آسیب پذیر بودن و استفاده از آن برای احراز هویت است.
device(config)# show running-config aaa-server | include kerberos
aaa-server asaKerberosTestServer protocol kerberos
kerberos-realm DEV.ASA.TEST
device(config)# show running-config all | include asaKerberosTestServer
aaa-server asaKerberosTestServer protocol kerberos
aaa-server asaKerberosTestServer (inside) host DEV.ASA.TEST
aaa authentication ssh console asaKerberosTestServer
CVE-2020-3195:
مشکل نشت اطلاعات از حافظه در ASA و FTD به دلیل پردازش نادرست پکتهای OSPF (Open Shortest Path First) است. حمله کننده با اکسپلویت میتواند به مرور حافظه سیستم را مورد استفاده قرار دهد تا جایی که سیستم ریلود شود. این آسیبپذیری روی ASA و FTD که مسیریابی OSPF برای روی تنظیم شده باشد و توانایی پردازش بلوکهای LLS (Link-Local Signaling) دارد اثر میگذارد.سیسکو اعلام کرد پردازش LLS بصورت پیش فرض غیرفعال می باشد. از دستور زیر برای OSPF در سیستم می توان استفاده نمود.
asa# show ospf
Routing Process “ospf 2” with ID 10.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA
CVE-2020-3191:
تنظیمات ASA و FDT با DNS برای پروتکل IPv6 به حمله ممانعت از سرویس آسیبپذیر هستند. حمله کننده از راه دور بدون داشتن احراز هویت میتواند این باگ را اکسپلویت کند. این کار را میتواند از طریق فرستاندن کوئری تغییر یافته DNS از طریق IPv6 انجام دهد. این حمله به مهاجم اجازه ریلود تجهیز و باعث ممانعت از سرویس میدهد. کامند زیر برای بررسی وجود مسیریابی بر روی IPV6 استفاده میشود که اگر تجهیز حداقل دو مسیر غیرلوکال نمایش داد، نشان از آسیبپذیر بودن سیستم است.
ciscoasa# show ipv6 route summary
IPv6 Routing Table Summary - 6 entries
۳ local, 1 connected, 2 static, 0 BGP, 0 IS-IS, 0 OSPF
Number of prefixes:
/۰: ۱, /۳: ۱, /۸: ۱, /۱۰: ۱, /۶۴: ۱, /۱۲۸: ۱
بهعلاوه دوازده باگ با درجه آسیبپذیری High در ASA و FDT و همچنین ۲۲ نقص با درجه آسیبپذیری medium در ASA، FDT و دیگر محصولات سیسکو وجود دارد. که شرکت سیسکو اعلام نموده است سریعا به روز رسانی صورت پذیرد.
منابع:
- Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Path Traversal Vulnerability
- Cisco Adaptive Security Appliance Software Kerberos Authentication Bypass Vulnerability
- Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPv6 DNS Denial of Service Vulnerability
- Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software OSPF Packets Processing Memory Leak Vulnerability