CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Indice:
Ancora una volta, usciamo dal solito programma di pubblicazione a causa dell’emergere di un exploit per la vulnerabilità critica CVE-2020-3452 in Cisco ASA & Cisco Firepower, così come l’emergere di regole per rilevare lo sfruttamento di questa vulnerabilità .
CVE-2020-3452 – un altro mal di testa a luglio
CVE-2020-3452 è stata scoperta alla fine dell’anno scorso, ma non è stata divulgata fino alla scorsa settimana quando Cisco ha rilasciato un aggiornamento per correggere questa vulnerabilità . L’avviso di sicurezza è stato pubblicato ieri, e poche ore dopo il ricercatore ha rilasciato il primo exploit PoC. Il numero di vulnerabilità critiche scoperte a luglio è scoraggiante: solo gli specialisti della sicurezza informatica sono riusciti a prendere fiato dopo aver installato aggiornamenti e/o contenuti di rilevamento per CVE-2020-1350 (SIGRed), e una nuova minaccia è già alla porta. Di solito, passano pochi giorni o addirittura ore tra la pubblicazione di un exploit proof-of-concept e l’inizio dello sfruttamento da parte degli attaccanti.
La vulnerabilità CVE-2020-3452 nell’interfaccia dei servizi web di Cisco ASA e Cisco Firepower consente ad attaccanti remoti non autenticati di condurre attacchi di traversata di directory e leggere file sensibili su un sistema mirato. Potrebbero sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata contenente sequenze di caratteri di traversata di directory a un dispositivo interessato. In caso di successo, gli attaccanti saranno in grado di visualizzare file arbitrari all’interno del file system dei servizi web sul dispositivo mirato.
Al momento della comparsa del primo exploit PoC, c’erano circa 80.000 dispositivi vulnerabili nel mondo, e gli attacchi sono iniziati entro 24 ore dalla pubblicazione dell’analisi tecnica. Durante questi attacchi, gli avversari hanno letto solo i file sorgente LUA, ma potenzialmente la vulnerabilità è molto più pericolosa, poiché i criminali informatici possono ottenere accesso ai cookie web, contenuti web parziali, segnalibri, URL HTTP e configurazione WebVPN.
Contenuti di rilevamento
La nuova regola Threat Hunting sviluppata da Roman Ranskyi per rilevare questa vulnerabilità aiuterà a scoprire le minacce per la tua organizzazione fino all’installazione degli aggiornamenti necessari: https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Elastic Endpoint
NTA: Corelight
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Sfruttamento di Applicazioni Pubblicamente Accessibili (T1190)
Aggiornamento! Emir Erdogan ha rilasciato una regola comunitaria che rileva CVE-2020-3452 tramite i log web: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/
Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.
