Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

De kwetsbaarheid bevindt zich in de web services interface van Cisco Firepower Threat Defense (FTD) en Adaptive Security Appliance (ASA) software. “Een aanvaller kan misbruik maken van deze kwetsbaarheid door een speciaal gemaakt HTTP verzoek met directory traversal character te sturen naar een kwetsbaar device,” geeft Cisco aan in hun security advisory.

Aan de kwetsbaarheid is CVE-2020-3452 toegewezen en heeft de kwetsbaarheid een CVSS score gekregen van 7.5/10. De kwetsbaarheid komt door dat er geen goede input validatie plaatsvindt van de URLs in de HTTP verzoeken die worden verwerkt door de kwetsbare devices. De kwetsbaarheid zorgt ervoor dat ongeauthenticeerde aanvallers directory traversal aanvallen kunnen uitvoeren, welke ze toegang geeft tot directories die normaal gesproken beperkt toegankelijk zijn en kunnen de aanvallers commando’s uitvoeren buiten de root directory van de web server.

Waarom is deze kwetsbaarheid gevaarlijk?

“Deze kwetsbaarheid … is erg gevaarlijk,” geeft Mikhail Klyuchnikov van Positive Technologies tegen Threatpost. “De oorzaak is een fout in het voldoende verifiëren van inputs. Een aanvaller kan met een speciaal gemaakt HTTP verzoek toegang krijgen tot het bestandssysteem RamFS, welke data opslaat in het RAM.”

De ongeauthenticeerde aanvaller kan alleen bestanden bekijken binnen het bestandssysteem van de web services. Het bestandssysteem is beschikbaar voor specifieke AnyConnect en WebVPN functionaliteiten. De bestanden die een aanvaller zou kunnen bekijken, zijn onder andere:

  • WebVPN configuratie;
  • Bladwijzers;
  • Website cookies;
  • Een deel van de web content;
  • HTTP URLs.

Welke versies zijn kwetsbaar?

Cisco geeft aan dat de kwetsbaarheid impact heeft op producten van ASA en FTD, welke een kwetsbare versie draaien. Wanneer ook een kwetsbare AnyConnect of WebVPN configuratie wordt gebruikt. De kwetsbaarheid kan niet gebruikt worden om toegang te krijgen tot ASA of FTD bestandssystemen of onderliggende besturingssysteem bestanden.

De volgende Cisco ASA versies zijn kwetsbaar:

  • 9.14;
  • 9.13;
  • 9.12;
  • 9.11;
  • 9.10;
  • 9.9;
  • 9.8;
  • 9.7;
  • 9.6;
  • 9.5 en eerdere versies.

De versies 9.5 en eerder en ook versie 9.7 worden niet meer ondersteund door Cisco.

De volgende Cisco FTD versies zijn kwetsbaar:

  • 6.6.0;
  • 6.5.0;
  • 6.4.0;
  • 6.3.0;
  • 6.2.3;
  • 6.2.2.

Versies voor 6.2.2 zijn niet kwetsbaar.

Wordt de kwetsbaarheid actief misbruikt?

Op woensdag 22 juli had de security onderzoeker Ahmed Aboul-Ela al een proof-of-concept (POC) met exploit code uitgebracht.

Het Cisco team, Cisco Product Security Incident Response Team (PSIRT),  geeft zelfs aan dat ze ervan op de hoogte zijn dat de exploit code publiekelijk beschikbaar is en dat er actief misbruik van wordt gemaakt.

Het potentiële aanvalsoppervlak zijn 85.000 via internet benaderbare ASA en FTD devices. Dit hebben security onderzoekers van Rapid7 bekeken. Volgens de onderzoekers worden 398 van deze devices gebruikt door Fortune 500 bedrijven.

Rapid 7 geeft verder aan dat ongeveer 10% van de 85.000 devices recent een reboot hebben gehad. Dit is een mogelijk inschatting dat deze devices de patch hebben gehad, aangezien het niet mogelijk is om op afstand de versie van het device te achterhalen. Bij de Fortune 500 bedrijven gaat het om 27 van de 398 devices.

Updates beschikbaar?

Om niet meer kwetsbaar te zijn voor CVE-2020-3452 moeten de devices geüpdatet worden naar een van de niet kwetsbare versies hieronder.

Cisco ASA:

  • 9.14.1.10;
  • 9.13.1.10;
  • 9.12.3.12;
  • 9.10.1.42;
  • 9.9.2.74;
  • 9.8.4.20;
  • 9.6.4.42.

Voor de versies 9.5 en eerder en 9.7 wordt er aangeraden om te upgraden naar een van bovenstaande versies.

Cisco FTD:

  • 6.6.0.1;
  • 6.5.0.5 (beschikbaar herfst 2020);
  • 6.5.0.4 + Hot Fix (Beschikbaar augustus 2020);
  • 6.4.0.10 (Beschikbaar augustus 2020);
  • 6.4.0.9 + Hot Fix;
  • 6.3.0.6 (beschikbaar herfst 2020);
  • 6.3.0.5 + Hot Fix (Beschikbaar augustus 2020);
  • 6.2.3.16.

Voor gebruikers van versie 6.2.2 wordt een aangeraden te upgraden naar een van de bovengenoemde versies.

Workaround beschikbaar?

Er zijn geen workarounds beschikbaar voor deze kwetsbaarheid.

Wel kunnen de volgende acties gedaan worden:

Voor het detecteren en/of blokkeren van pogingen om misbruik te maken van de exploit, kunnen klanten die de SSL Decryption functionaliteit gebruiken voor verkeer bij Cisco Firepower sensors, hiervoor de Snort regels 54598 t/m 54601 inschakelen door gebruik te maken van het Cisco Firepower Management Center.

Advies

Er wordt geadviseerd aan iedere organisaties die gebruik maakt van Cisco ASA en/of FTD en nog niet geüpdatet heeft naar een niet kwetsbare versie om dit z.s.m. te doen. De reden hiervoor is dat er op dit moment actief misbruik wordt gemaakt van de kwetsbaarheid, waarmee de kans groot is dat op dit moment nog kwetsbare devices van organisaties ook worden misbruikt via de kwetsbaarheid.

Voor gebruikers van oudere ASA (9.5 en eerder en 9.7) en FTD (6.2.2) versies wordt er geadviseerd te upgraden naar een nieuwere niet kwetsbare versie, aangezien voor deze versies geen niet kwetsbare versie is uitgebracht.

Er is geen workaround beschikbaar, daarom moet er geüpdatet worden om niet meer kwetsbaar te zijn voor de kwetsbaarheid.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Emotet botnet keert na 5 maanden terug
BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

Gerelateerde berichten

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

15 + vijf =

Menu