首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-3452 | Cisco ASA/FTD目錄遍歷漏洞通告

發布時間 2020-07-23

0x00 漏洞概述


CVE   ID

CVE-2020-3452

   

2020-07-23

  

PT

   

高危

遠程利用

影響范圍


0x01 漏洞詳情



2020年7月22日,Cisco發布安全公告,修復了一個Adaptive Security Appliance(ASA)和Firepower Threat Defense(FTD)軟件的目錄遍歷漏洞(CVE-2020-3452)。

Cisco Adaptive Security Appliances Software是一套防火墻和網絡安全平臺。該平臺主要用于對數據和網絡資源的高度安全的訪問等,Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。

該漏洞源于ASA和FTD的 web 服務接口在處理HTTP請求的URL時缺乏正確的輸入驗證,導致攻擊者可以在目標設備上查看系統內的任意文件。

注意:當設備配置了WebVPN或AnyConnect功能,將啟用Web服務時,才會受到該漏洞影響,但是該漏洞不能用于訪問ASA或FTD系統文件或底層操作系統(OS)文件。

目前已公開了該漏洞的PoC,鏈接如下:

https://twitter.com/aboul3la/status/1286012324722155525


0x02 影響范圍


以下是CVE-2020-3452漏洞受影響的系統版本:

Cisco ASA 設備影響版本:

<9.6.1

9.6 < 9.6.4.42

9.71

9.8 < 9.8.4.20

9.9 < 9.9.2.74

9.10 < 9.10.1.42

9.12 < 9.12.3.12

9.13 < 9.13.1.10

9.14 < 9.14.1.10

Cisco FTD設備影響版本:

6.2.2

6.2.3 < 6.2.3.16

6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

6.4.0 < 6.4.0.9 + Hot Fix

6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

6.6.0 < 6.6.0.1

ASA和FTD設備易受攻擊的配置如下:




0x03 處置建議


目前廠商已發布新版本,詳見下表,左列是受該漏洞影響的軟件版本,右列是廠商發布的更新版本:

Cisco ASA:



Cisco ASA軟件9.5版及更早版本以及9.7版已經停止維護。

Cisco FTD:



上圖中關于Cisco FTD Hot Fix 細節,詳見下圖:



升級Cisco FTD版本,用戶可以選擇以下其中一個方法執行:

? 對于Cisco Firepower Management Center(FMC),使用FMC界面安裝升級。安裝完成后,重新應用訪問控制策略;

? 對于Cisco Firepower Device Manager(FDM),使用FDM界面安裝升級。安裝完成后,重新應用訪問控制策略。


0x04 相關新聞


https://www.security-database.com/detail.php?alert=CVE-2020-3452


0x05 參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86


0x06 時間線


2020-07-22 Cisco發布安全公告

2020-07-23 VSRC發布漏洞通告











上一篇 下一篇