CVE-2020-3452: Cisco ASA 및 Cisco Firepower에서의 인증되지 않은 파일 읽기 탐지

중대한 취약성 CVE-2020-3452가 Cisco ASA 및 Cisco Firepower에 대해 발견됨에 따라, 이 취약성에 대한 탐지 규칙의 출현으로 인해, 다시 한 번 정기 출판 일정을 변경합니다.

CVE-2020-3452 – 7월의 또 하나의 골칫거리

CVE-2020-3452는 작년 말에 발견되었지만 이 취약성을 수정하기 위한 업데이트가 Cisco에서 발표될 때까지 공개되지 않았습니다. 보안 권고는 어제 발표되었고 몇 시간 후 연구자가 첫 PoC 익스플로잇을 공개했습니다. 7월에 발견된 중대한 취약점의 수는 심각합니다: IT 보안 전문가들이 업데이트 설치 및/또는 탐지 콘텐츠 설치 후 숨을 돌릴 수 있었을 뿐이며 CVE-2020-1350 (SIGRed)이 위협은 이미 문 앞에 와 있습니다. 일반적으로 증명 가능한 익스플로잇의 발표와 공격자가 이를 활용하기 시작하는 사이에는 며칠 또는 몇 시간만이 지나갑니다. 

Cisco ASA 및 Cisco Firepower의 웹 서비스 인터페이스의 CVE-2020-3452 취약점은 인증받지 않은 원격 공격자가 디렉토리 트래버설 공격을 수행하고 대상 시스템의 민감한 파일을 읽을 수 있도록 허용합니다. 공격자는 영향을 받은 장치에 디렉토리 트래버설 문자 시퀀스를 포함하는 조작된 HTTP 요청을 전송하여 이 취약점을 악용할 수 있습니다. 공격이 성공하면 공격자는 대상 장치의 웹 서비스 파일 시스템 내에서 임의의 파일을 열람할 수 있습니다.

첫 번째 PoC 익스플로잇이 나타났을 때, 전 세계에는 약 80,000대의 취약한 장치가 있었고, 기술 분석 발표 후 24시간 이내에 공격이 시작되었습니다. 이러한 공격 동안에는 주로 LUA 소스 파일만 읽었지만, 잠재적으로 이 취약점은 훨씬 더 위험하며, 사이버 범죄자들은 웹 쿠키, 웹 콘텐츠 일부, 북마크, HTTP URL 및 WebVPN 구성에 접근할 수 있습니다.

탐지 콘텐츠

이 취약점을 탐지하기 위해 Roman Ranskyi가 개발한 새로운 위협 사냥 규칙은 필요한 업데이트가 설치될 때까지 귀하의 조직에 대한 위협을 드러내는 데 도움이 될 것입니다: https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

전술: 초기 접근

기술: 공개된 애플리케이션 악용 (T1190)

업데이트! Emir Erdogan가 웹 로그를 통해 CVE-2020-3452를 탐지하는 커뮤니티 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/

SOC Prime TDM을 시도할 준비가 되셨나요? 무료로 가입. 또는 위협 현상금 프로그램에 참여하여 자신의 콘텐츠를 만들고 TDM 커뮤니티와 공유하세요.