CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower

Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade.

CVE-2020-3452 – mais uma dor de cabeça em Julho

CVE-2020-3452 foi descoberta no final do ano passado, mas não foi divulgada até que a Cisco lançou uma atualização para corrigir essa vulnerabilidade na semana passada. O Aviso de Segurança foi publicado ontem, e algumas horas depois o pesquisador divulgou o primeiro exploit PoC. O número de vulnerabilidades críticas descobertas em julho é desanimador: apenas os especialistas em segurança de TI conseguiram recuperar o fôlego após instalar atualizações e/ou conteúdo de detecção para CVE-2020-1350 (SIGRed), e uma nova ameaça já está à porta. Normalmente, passam-se alguns dias ou até horas entre a publicação de um exploit de prova de conceito e o início da exploração pelos atacantes. 

A vulnerabilidade CVE-2020-3452 na interface de serviços web do Cisco ASA e Cisco Firepower permite que atacantes remotos não autenticados conduzam ataques de travessia de diretório e leiam arquivos sensíveis em um sistema alvo. Eles podem explorar essa vulnerabilidade enviando uma solicitação HTTP especialmente elaborada contendo sequências de caracteres de travessia de diretório para um dispositivo afetado. Em caso de sucesso, os atacantes poderão visualizar arquivos arbitrários dentro do sistema de arquivos dos serviços web no dispositivo alvo.

No momento em que o primeiro exploit PoC apareceu, havia cerca de 80.000 dispositivos vulneráveis no mundo, e os ataques começaram 24 horas após a publicação da análise técnica. Durante esses ataques, os adversários apenas leram arquivos fonte LUA, mas potencialmente a vulnerabilidade é muito mais perigosa, já que os cibercriminosos podem acessar cookies web, conteúdo web parcial, favoritos, URLs HTTP e configuração do WebVPN.

Conteúdo de detecção

A nova regra de Threat Hunting desenvolvida por Roman Ranskyi para detectar essa vulnerabilidade ajudará a descobrir ameaças à sua organização até que as atualizações necessárias sejam instaladas: https://tdm.socprime.com/tdm/info/A4uayJwRAGGA/

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnicas: Exploração de Aplicação Exposta (T1190)

Atualização! Emir Erdogan lançou uma regra comunitária que detecta o CVE-2020-3452 via logs da web: https://tdm.socprime.com/tdm/info/1HGUIE7X8ZYj/iAAR2HMBQAH5UgbB9i-1/

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.