شرکت سیسکو دوازده نقص امنیتی با سطح ریسک بحرانی را اعلام کرد که روی ASA و نرم‌افزار FDT اثر می‌گذارد.

شناسه آسیب‌پذیری:

CVE-2020-3187, CVE-2020-3125, CVE-2020-3195, CVE-2020-3191

سطح ریسک:

CVE-2020-3187:

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Base Score: 9.1 Critical

CVE-2020-3125:

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 8.8 High

CVE-2020-3195:

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Base Score: 8.6 High

CVE-2020-3191:

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Base Score: 8.6 High

نسخه‌های آسیب‌پذیری:

ASA و FDT

توضیحات:

به‌روز رسانی منتشر شده توسط سیسکو شامل ۸ حمله DoS که روی امنیت نرم‌افزار، آسیب‌پذیری نشت اطلاعات، نقص نشت اطلاعات حافظه، یک آسیب‌پذیری path-traversal و دور زدن احراز هویت اثر می‌گذارد.

CVE-2020-3178:

این باگ توسط یک متخصص امنیتی از شرکت PT گزارش شد و حمله کننده با استفاده از فرستادن درخواست‌های تغییر یافته HTTP که شامل کاراکترهای متوالی directory traversal است به هکر اجازه دیدن و پاک کردن فایل روی سیستم را می‌دهد. شرکت سیسکو اعلام کرد پس از راه‌اندازی مجدد سیستم بعد از اکسپلویت، تمام فایل‌های پاک شده برمی‌گردنند. حمله کننده فقط می‌تواند فایل‌های از نوع فایل سیستم وب سرویس را پاک و مشاهده کنند و این کار زمانی که تنظیمات سیستم با WebVPN و Anyconnect تنظیم شده باشند وقوع می‌پیوندند.

ویژگی های آسیب پذیر به این باگ امنیتی در ASA شامل :

Cisco ASA FeatureVulnerable Configuration
AnyConnect IKEv2 Remote Access (with client servises)crypto ikev2 enable client-services port
Anyconnect SSL VPNwebvpn
enable <interface_name>
Clientless SSL VPNwebvpn
enable <interface_name>

ویژگی های آسیب پذیر به این باگ امنیتی در  FTD شامل :

Cisco FTD FeatureVulnerable Configuration
AnyConnect IKEv2 Remote Access (with client services)crypto ikev2 enable <interface_name client-services port>
AnyConnect SSL VPNwebvpn
enable <interface_name>

CVE-2020-3125:

این آسیب‌پذیری به دلیل عدم صحت سنجی درست احراز هویت Kerberos بر روی ASA است. حمله کننده می‌تواند با شنود پاسخ سرور KDC به تجهیزات ASA این نقص را اکسپلویت کند. پاسخ آلوده توسط KDC احرازهویت نمی شود. یک حمله موفق به حمله کننده اجازه دور زدن احراز هویت Kerberos را می‌دهد. این مشکل روی ASA که در آن تنظیمات احرازهویت Kerberos برای VPN یا دسترسی به تجهیزات لوکال انجام شده باشد اثر می‌گذارد. سیسکو همچنین اعلام کرد که بعد از نصب به‌روز رسانی، مدیر سیستم هنوز باید تنظیمات را طوری تغییر دهد که این آسیب‌پذیری پوشش داده شود. اگر دستورات ٬alidate-kdc٬ و ٬aaa kerberos٬ به درستی در اینترفیس تنظیم شوند دیگر نمی‌توان اکسپلوت تجهیزات ASA را انجام داد در غیراینصورت این تجهیزات هنوز آسیب‌پذیر هستند. این باگ نیز توسط یک تیم متخصص امنیتی به سیسکو اعلام گردید.  در ادامه کامند بررسی پیکربندی نمودن kerberos ارایه شده است و اگر نام سرور Kerberos در جایی دیگر در تنظیمات آورده شده باشد به معنای آسیب پذیر بودن و استفاده از آن برای احراز هویت است.

device(config)# show running-config aaa-server | include kerberos
aaa-server asaKerberosTestServer protocol kerberos
kerberos-realm DEV.ASA.TEST

device(config)# show running-config all | include asaKerberosTestServer
aaa-server asaKerberosTestServer protocol kerberos
aaa-server asaKerberosTestServer (inside) host DEV.ASA.TEST
aaa authentication ssh console asaKerberosTestServer

CVE-2020-3195:

مشکل نشت اطلاعات از حافظه در ASA و FTD به دلیل پردازش نادرست پکت‌های OSPF (Open Shortest Path First) است. حمله کننده با اکسپلویت می‌تواند به مرور حافظه سیستم را مورد استفاده قرار دهد تا جایی که سیستم ریلود شود. این‌ آسیب‌پذیری روی ASA و FTD که مسیریابی OSPF برای روی تنظیم شده باشد و توانایی پردازش بلوک‌های LLS (Link-Local Signaling) دارد اثر می‌گذارد.سیسکو اعلام کرد پردازش LLS بصورت پیش فرض غیرفعال می باشد. از دستور زیر برای OSPF در سیستم می توان استفاده نمود.

asa# show ospf

Routing Process “ospf 2” with ID 10.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA

CVE-2020-3191:

تنظیمات ASA و FDT با DNS برای پروتکل IPv6 به حمله ممانعت از سرویس آسیب‌پذیر هستند. حمله کننده از راه دور بدون داشتن احراز هویت می‌تواند این باگ را اکسپلویت کند. این کار را می‌تواند از طریق فرستاندن کوئری تغییر یافته DNS از طریق IPv6 انجام دهد. این حمله به مهاجم اجازه ریلود تجهیز و باعث ممانعت از سرویس می‌دهد. کامند زیر برای بررسی وجود مسیریابی بر روی IPV6 استفاده می‌شود که اگر تجهیز حداقل دو مسیر غیرلوکال نمایش داد، نشان از آسیب‌پذیر بودن سیستم است.

ciscoasa# show ipv6 route summary

IPv6 Routing Table Summary - 6 entries
  ۳ local, 1 connected, 2 static, 0 BGP, 0 IS-IS, 0 OSPF
  Number of prefixes:
    /۰: ۱, /۳: ۱, /۸: ۱, /۱۰: ۱, /۶۴: ۱, /۱۲۸: ۱

به‌علاوه دوازده باگ با درجه آسیب‌پذیری High در ASA و FDT و همچنین ۲۲ نقص با درجه آسیب‌پذیری medium در ASA، FDT و دیگر محصولات سیسکو وجود دارد. که شرکت سیسکو اعلام نموده است سریعا به روز رسانی صورت پذیرد.

منابع:

  1. Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Path Traversal Vulnerability
  2. Cisco Adaptive Security Appliance Software Kerberos Authentication Bypass Vulnerability
  3. Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPv6 DNS Denial of Service Vulnerability
  4. Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software OSPF Packets Processing Memory Leak Vulnerability