CVE-2020-3452: Lectura de Archivos no Autenticada en Cisco ASA y Detección de Cisco Firepower
Tabla de contenidos:
Nuevamente, salimos del programa de publicaciones habitual debido a la aparición de un exploit para la vulnerabilidad crítica CVE-2020-3452 en Cisco ASA y Cisco Firepower, así como el surgimiento de reglas para detectar la explotación de esta vulnerabilidad.
CVE-2020-3452 – otro dolor de cabeza en julio
CVE-2020-3452 fue descubierta a finales del año pasado, pero no se divulgó hasta la semana pasada cuando Cisco lanzó una actualización para corregir esta vulnerabilidad. El Aviso de Seguridad fue publicado ayer, y unas pocas horas más tarde, el investigador publicó el primer exploit PoC. El número de vulnerabilidades críticas descubiertas en julio es desalentador: solo los especialistas en seguridad de TI lograron tomar un respiro después de instalar actualizaciones y/o contenido de detección para CVE-2020-1350 (SIGRed), y ya hay una nueva amenaza en la puerta. Por lo general, pasan unos pocos días o incluso horas entre la publicación de un exploit de prueba de concepto y el comienzo de la explotación por parte de los atacantes.
La vulnerabilidad CVE-2020-3452 en la interfaz de servicios web de Cisco ASA y Cisco Firepower permite que atacantes remotos no autenticados lleven a cabo ataques de recorrido de directorios y lean archivos sensibles en un sistema objetivo. Podrían explotar esta vulnerabilidad al enviar una solicitud HTTP manipulada que contenga secuencias de caracteres de recorrido de directorios a un dispositivo afectado. En caso de éxito, los atacantes podrán ver archivos arbitrarios dentro del sistema de archivos de servicios web en el dispositivo objetivo.
En el momento en que apareció el primer exploit PoC, había alrededor de 80,000 dispositivos vulnerables en el mundo, y los ataques comenzaron dentro de las 24 horas posteriores a la publicación del análisis técnico. Durante estos ataques, los adversarios solo leían archivos fuente LUA, pero potencialmente la vulnerabilidad es mucho más peligrosa, ya que los ciberdelincuentes pueden obtener acceso a cookies web, contenido web parcial, marcadores, URLs HTTP y configuración de WebVPN.
Contenido de detección
La nueva regla de Threat Hunting desarrollada por Roman Ranskyi para detectar esta vulnerabilidad ayudará a descubrir amenazas para su organización hasta que se instalen las actualizaciones necesarias: https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Elastic Endpoint
NTA: Corelight
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta al Público (T1190)
¡Actualización! Emir Erdogan lanzó una regla comunitaria que detecta CVE-2020-3452 a través de registros web: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/
¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.
