CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Inhaltsverzeichnis:
Erneut weichen wir vom üblichen Veröffentlichungszyklus ab, da ein Exploit für die kritische Schwachstelle CVE-2020-3452 in Cisco ASA & Cisco Firepower aufgetaucht ist, ebenso wie Regeln zur Erkennung der Ausnutzung dieser Schwachstelle.
CVE-2020-3452 – noch ein Kopfschmerz im Juli
CVE-2020-3452 wurde Ende letzten Jahres entdeckt, aber erst letzte Woche wurde sie veröffentlicht, als Cisco ein Update zur Behebung dieser Schwachstelle herausgab. Das Security Advisory wurde gestern veröffentlicht, und nur wenige Stunden später veröffentlichte der Forscher den ersten PoC-Exploit. Die Anzahl der im Juli entdeckten kritischen Schwachstellen ist ernüchternd: Nur IT-Sicherheitsspezialisten hatten es geschafft, nach der Installation von Updates und/oder Erkennungsinhalten für CVE-2020-1350 (SIGRed)durchzuatmen, und schon steht eine neue Bedrohung vor der Tür. Normalerweise vergehen nur wenige Tage oder sogar Stunden zwischen der Veröffentlichung eines Proof-of-Concept-Exploits und dem Beginn der Ausbeutung durch Angreifer.
Die Schwachstelle CVE-2020-3452 in der Webdienstschnittstelle von Cisco ASA und Cisco Firepower erlaubt nicht authentifizierten entfernten Angreifern, Directory-Traversal-Angriffe durchzuführen und sensible Dateien auf einem Zielsystem zu lesen. Sie könnten diese Schwachstelle ausnutzen, indem sie eine präparierte HTTP-Anfrage mit Directory-Traversal-Zeichenfolgen an ein betroffenes Gerät senden. Bei Erfolg können Angreifer beliebige Dateien im Dateisystem der Webdienste auf dem Zielgerät anzeigen.
Zum Zeitpunkt des Auftauchens des ersten PoC-Exploits gab es weltweit etwa 80.000 verwundbare Geräte, und die Angriffe begannen innerhalb von 24 Stunden nach Veröffentlichung der technischen Analyse. Während dieser Angriffe lasen die Gegner nur LUA-Quelldateien, aber potenziell ist die Schwachstelle viel gefährlicher, da Cyberkriminelle Zugriff auf Web-Cookies, Teile von Webinhalten, Lesezeichen, HTTP-URLs und WebVPN-Konfigurationen erlangen können.
Erkennungsinhalt
Die neue Threat-Hunting-Regel, die von Roman Ranskyi entwickelt wurde, um diese Schwachstelle zu erkennen, wird helfen, Bedrohungen für Ihre Organisation aufzudecken, bis die notwendigen Updates installiert sind: https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Elastic Endpoint
NTA: Corelight
MITRE ATT&CK:
Taktiken: Initial Access
Techniken: Exploit Public-Facing Application (T1190)
Aktualisierung! Emir Erdogan veröffentlichte eine Community-Regel, die CVE-2020-3452 über Webprotokolle erkennt: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/
Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder am Threat Bounty Program teilnehmen um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.
