CVE-2020-3452：Cisco ASAおよびCisco Firepowerにおける未認証のファイル読み取り検出

再び通常の発行スケジュールを外れることとなりました。これは、Cisco ASA および Cisco Firepower に存在する重大な脆弱性 CVE-2020-3452 に対するエクスプロイトが発生したこと、ならびにこの脆弱性の悪用を検出するためのルールが登場したためです。

CVE-2020-3452 – 7月の新たな頭痛の種

CVE-2020-3452 は昨年末に発見されましたが、Cisco がこの脆弱性を修正するためのアップデートをリリースするまで、公表されることはありませんでした。セキュリティアドバイザリは昨日公開され、数時間後には研究者が最初の PoC エクスプロイトをリリースしました。 7月に発見された重大な脆弱性の数は落胆すべきもので、ITセキュリティ専門家がアップデートや検出コンテンツをインストールして一息つこうとしたところ CVE-2020-1350 (SIGRed)、新たな脅威がすでに迫ってきています。通常、概念実証エクスプロイトの公開と攻撃者による悪用の開始の間には数日、あるいは数時間しかありません。

Cisco ASA および Cisco Firepower のウェブサービスインターフェースに存在する CVE-2020-3452 脆弱性は、認証されていないリモート攻撃者に、ディレクトリトラバーサル攻撃を実行し、ターゲットシステム上の機密ファイルを読み取ることを可能にします。攻撃者は、この脆弱性を利用して、ディレクトリトラバーサル文字列を含む細工された HTTP リクエストを影響を受けたデバイスに送信することで悪用できます。成功すれば、攻撃者はターゲットデバイスのウェブサービスファイルシステム内の任意のファイルを閲覧することができます。

最初の PoC エクスプロイトが登場した時点で、世界には約80,000の脆弱なデバイスがあり、技術分析の公開後24時間以内に攻撃が開始されました。これらの攻撃では、敵対者はLUAソースファイルを読み取るだけでしたが、潜在的にはこの脆弱性はより危険であり、サイバー犯罪者がウェブクッキー、部分的なウェブコンテンツ、ブックマーク、HTTP URL、WebVPN設定にアクセスできる可能性があります。

検出コンテンツ

Roman Ranskyi によって開発された新しいスレットハンティングルールは、この脆弱性を検出するために役立ち、必要なアップデートがインストールされるまで組織の脅威を明らかにするのに役立ちます。 https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/

このルールは次のプラットフォームに対して翻訳があります:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

タクティクス: 初期アクセス

テクニック: 公開向けアプリケーションのエクスプロイト (T1190)

更新！ Emir ErdoganがCVE-2020-3452をウェブログを通じて検出するコミュニティルールをリリースしました: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/

SOC Prime TDMを試してみますか？ 無料でサインアップ。または Threat Bounty Program に参加して 独自のコンテンツを作成し、TDMコミュニティと共有してください。