نشت اطلاعات حساس با سوءاستفاده از آسیب‌پذیری Cisco

خلاصه: آسیب پذیری CVE-2020-3452 با امتیاز مبنای 7.5 در نرم افزارهای Firepower Threat Defense و Adaptive Security Appliance از محصولات پرکاربرد شرکت Cisco شناسایی شده است. با وجود عرضه رسمی وصله‌های این آسیب‌پذیری متأسفانه تا کنون تنها 10% از نرم‌افزارهای FTD و ASA به‌روزرسانی شده‌اند. این در حالی است که چندین حمله با سوءاستفاده از این آسیب‌پذیری گزارش شده است. 

آسیب پذیری CVE-2020-3452 با امتیاز مبنای 7.5 در نرم افزارهای  Firepower Threat Defense و Adaptive Security Appliance  از محصولات پرکاربرد شرکت Cisco شناسایی شده است. نرم‌افزار FTD یکی از محصولات مدیریت ترافیک و امنیت شبکه سیسکو و نرم‌افزار ASA سیستم‌عامل خانواده ASA سری دستگاه‌های امنیت شبکه سیسکو هستند. مهاجم با سوءاستفاده از آسیب‌پذیری دو نرم‌افزار فوق‌الذکر قادر خواهد بود اطلاعات حساس(از جمله تنظیمات VPN ، کوکی‌های وب و ...) سیستم هدف را از راه دور و بدون نیاز به احراز اصالت بدست آورد.

ریشه آسیب پذیری CVE-2020-3452،اعتبارسنجی نامناسب ورودی URLها در درخواست‌های HTTP است. برای حمله، مهاجم بایستی درخواست HTTP دستکاری شده را که دنباله کاراکترهای directory traversal را شامل می‌شود برای سیستم هدف ارسال کند. سوءاستفاده موفّق از آسیب‌پذیری امکان مشاهده اسناد دلخواه مهاجم را در سیستم هدف فراهم می‌سازد.

این آسیب پذیری قابلیت‌های تهاجمی بسیاری را برای مهاجم فراهم می‌سازد. از جمله آن که مهاجم می‌تواند اسناد دارای دسترسی محدود را خوانده و خارج از ریشه سرور وب دستورات دلخواه خود را اجرا کند. بعلاوه فایل‌های خدمات وب که مهاجم قادر به خواندن آن‌ها می‌شود اطلاعاتی چون پیکربندی WebVPN، کوکی‌های وب، محتوای جزئی وب و آدرس‌های URL را از سیستم تسخیرشده بدست آورد.

برای رفع این آسیب‌پذیری، شرکت Cisco وصله‌هایی را عرضه کرده است که بایستی هر چه زودتر اعمال شوند. به گزارش Rapid7 تا کنون تنها 10% نرم‌افزارهای FTD و ASA به‌روزرسانی شده‌اند. این در حالی است که چندین حمله واقعی (برای مثال از آدرس IPv4 46[.]30.189.6) و شبه‌حملاتی توسط کارشناسان مطرح امنیت (شکل‌های زیر) گزارش شده است.

جدول زیر بردار ویژگی‌های این آسیب‌پذیری را نشان می‌دهد که بر اساس آن‌ها امتیازدهی CVSS  صورت پذیرفته است.