CVE-2020-3452 : Lecture de fichier non authentifiée dans Cisco ASA et Cisco Firepower Détection
Table des matières :
Encore une fois, nous dérogeons à notre calendrier de publication habituel en raison de l’émergence d’un exploit pour la vulnérabilité critique CVE-2020-3452 dans Cisco ASA & Cisco Firepower, ainsi que de l’apparition de règles pour détecter l’exploitation de cette vulnérabilité.
CVE-2020-3452 – un autre casse-tête en juillet
CVE-2020-3452 a été découvert à la fin de l’année dernière, mais il n’a été divulgué que la semaine dernière lorsque Cisco a publié une mise à jour pour corriger cette vulnérabilité. L’avis de sécurité a été publié hier, et quelques heures plus tard, le chercheur a publié le premier exploit PoC. Le nombre de vulnérabilités critiques découvertes en juillet est décourageant : seuls les spécialistes de la sécurité informatique ont réussi à reprendre leur souffle après avoir installé des mises à jour et/ou des contenus de détection pour CVE-2020-1350 (SIGRed), et une nouvelle menace est déjà à la porte. En général, quelques jours, voire quelques heures, s’écoulent entre la publication d’un exploit proof-of-concept et le début de l’exploitation par les attaquants.
La vulnérabilité CVE-2020-3452 dans l’interface des services web de Cisco ASA et Cisco Firepower permet à des attaquants distants non authentifiés de mener des attaques par traversée de répertoires et de lire des fichiers sensibles sur un système ciblé. Ils pourraient exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue contenant des séquences de caractères de traversée de répertoire à un appareil affecté. En cas de succès, les attaquants pourront consulter des fichiers arbitraires au sein du système de fichiers des services web de l’appareil ciblé.
Au moment de l’apparition du premier exploit PoC, il y avait environ 80 000 appareils vulnérables dans le monde, et des attaques ont commencé dans les 24 heures suivant la publication de l’analyse technique. Lors de ces attaques, les adversaires ne faisaient que lire les fichiers sources LUA, mais potentiellement, la vulnérabilité est bien plus dangereuse, car les cybercriminels peuvent accéder aux cookies web, au contenu partiel web, aux signets, aux URL HTTP et à la configuration WebVPN.
Contenu de détection
La nouvelle règle de Threat Hunting développée par Roman Ranskyi pour détecter cette vulnérabilité aidera à découvrir les menaces contre votre organisation jusqu’à ce que les mises à jour nécessaires soient installées : https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/
La règle a des traductions pour les plateformes suivantes :
SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR : Elastic Endpoint
NTA : Corelight
MITRE ATT&CK :
Tactiques : Accès initial
Techniques : Exploiter une application exposée au public (T1190)
Mise à jour ! Emir Erdogan a publié une règle communautaire qui détecte CVE-2020-3452 via les journaux web : https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/
Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Bounty de Menace pour créer votre propre contenu et le partager avec la communauté TDM.
