Cisco ASA/FTD目录遍历漏洞通告

0x01 漏洞详情

2020年7月22日,Cisco发布安全公告,修复了一个Adaptive Security Appliance(ASA)和Firepower Threat Defense(FTD)软件的目录遍历漏洞(CVE-2020-3452)。

Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台主要用于对数据和网络资源的高度安全的访问等,Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。

该漏洞源于ASA和FTD的 web 服务接口在处理HTTP请求的URL时缺乏正确的输入验证,导致攻击者可以在目标设备上查看系统内的任意文件。

注意:当设备配置了WebVPN或AnyConnect功能,将启用Web服务时,才会受到该漏洞影响,但是该漏洞不能用于访问ASA或FTD系统文件或底层操作系统(OS)文件。

目前已公开了该漏洞的PoC,链接如下:

https://twitter.com/aboul3la/status/1286012324722155525

0x02 影响范围

以下是CVE-2020-3452漏洞受影响的系统版本:

Cisco ASA 设备影响版本:

<9.6.1

9.6 < 9.6.4.42

9.71

9.8 < 9.8.4.20

9.9 < 9.9.2.74

9.10 < 9.10.1.42

9.12 < 9.12.3.12

9.13 < 9.13.1.10

9.14 < 9.14.1.10

Cisco FTD设备影响版本:

6.2.2

6.2.3 < 6.2.3.16

6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

6.4.0 < 6.4.0.9 + Hot Fix

6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

6.6.0 < 6.6.0.1

0x03 处置建议

目前厂商已发布新版本,详见下表,左列是受该漏洞影响的软件版本,右列是厂商发布的更新版本:

Cisco ASA:

Cisco ASA软件9.5版及更早版本以及9.7版已经停止维护。

Cisco FTD:

上图中关于Cisco FTD Hot Fix 细节,详见下图:

升级Cisco FTD版本,用户可以选择以下其中一个方法执行:

 对于Cisco Firepower Management Center(FMC),使用FMC界面安装升级。安装完成后,重新应用访问控制策略;

 对于Cisco Firepower Device Manager(FDM),使用FDM界面安装升级。安装完成后,重新应用访问控制策略。

0x04 相关新闻

https://www.security-database.com/detail.php?alert=CVE-2020-3452

0x05 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

发表评论

评论已关闭。

相关文章