Ranjivosti u Cisco ASA i FTD softveru
Dana 24. travnja 2024. godine, tvrtka Cisco je objavila tri ranjivosti u svojim poslužiteljima za upravljanje i VPN web poslužiteljima za Cisco Adaptive Security Appliance (ASA) softver i Cisco Firepower Threat Defense (FTD) softver.
U trenutku pisanja obavijesti za neke od ranjivosti zabilježeno je aktivno iskorištavanje. Preporučuje se žurna nadogradnja ranjivih proizvoda te provjera potencijalnih kompromitacija.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
-
Ranjivost CVE-2024-20353 (CVSS ocjena 8.6), omogućuje zlonamjernom napadaču stvaranje uvjeta uskraćivanja usluge (engl. Denial of Service - DoS) slanjem proizvoljnih HTTP zahtjeva web poslužitelju na ranjivom uređaju. Uspješno iskorištavanje rezultira neočekivanim ponovnim učitavanjem (engl. reloading) uređaja. Ranjivost proizlazi iz nepotpune provjere pogrešaka prilikom parsiranja HTTP zaglavlja.
-
Ranjivost CVE-2024-20359 (CVSS ocjena 6.0), omogućuje autentificiranom, lokalnom napadaču izvršavanje proizvoljnog kôda s root privilegijama na ranjivom uređaju kopiranjem specifično kreirane datoteke na njegov disk0: datotečni sustav. Izvršavanje se događa nakon ponovnog učitavanja ranjivog uređaja. Ranjivost proizlazi iz nepravilne provjere valjanosti datoteke prilikom čitanja iz flash memorije sustava. Važno je napomenuti da umetnuti kôd može perzistirati nakon ponovnog pokretanja uređaja. Potrebne su administratorske privilegije za iskorištavanje ove ranjivosti.
-
Ranjivost CVE-2024-20358 (CVSS ocjena 6.0), omogućuje autentificiranom, lokalnom napadaču izvršavanje proizvoljnih naredbi na temeljnom operativnom sustavu (tj. Linux) s root privilegijama. Napadač iskorištava ovu ranjivost vraćanjem stanja sustava (engl. restoring) iz specifično kreirane sigurnosne kopije na ranjivom uređaj. Ranjivost proizlazi iz nepravilne sanitizacije sadržaja sigurnosne kopije prilikom vraćanja stanja sustava iz sigurnosne kopije. Potrebne su administratorske privilegije za iskorištavanje ove ranjivosti.
Zahvaćeni proizvodi:
Ove ranjivosti zahvaćaju Cisco ASA i FTD uređaje. Cisco pruža Cisco Software Checker alat za utvrđivanje je li određena verzija ranjiva.
U trenutku pisanja obavijesti za neke od ranjivosti zabilježeno je aktivno iskorištavanje. Preporučuje se žurna nadogradnja ranjivih proizvoda te provjera potencijalnih kompromitacija. Ova ranjivost zahvaća Cisco ASA softver i FTD softver ako imaju jednu ili više ranjivih konfiguracija navedenih u nastavku.
Kako bi se utvrdilo je li uređaj koji pokreće Cisco ASA softver ili FTD softver ranjiv, potrebno je koristiti naredbu show asp table socket | include SSL i potražite SSL listen socket na bilo kojem TCP portu. Ako se socket nalazi u generiranom rezultatu (engl. output), uređaj se smatra ranjivim.
Sljedeći primjer prikazuje generirani rezultat za Cisco ASA uređaj s dva SSL listen socket-a na TCP portu 443 i TCP portu 8443:
> ciscoasa# show asp table socket | include SSL
SSL 00185038 LISTEN 172.16.0.250:443 0.0.0.0:*
SSL 00188638 LISTEN 10.0.0.250:8443 0.0.0.0:*
|
Cisco ASA ranjiva konfiguracija
U sljedećoj tablici, lijeva kolona navodi potencijalno ranjive značajke Cisco ASA softvera, dok desna kolona označava osnovnu konfiguraciju značajke iz show running-config CLI naredbe, ukoliko ju je moguće odrediti. Ove značajke mogu uzrokovati omogućavanje SSL listen socket.
Značajka Cisco ASA softvera
|
Potencijalno ranjiva konfiguracija
|
AnyConnect IKEv2 Remote Access (with client services)
|
crypto ikev2 enable [...] client-services port
|
Local Certificate Authority (CA)
|
crypto ca server \ no shutdown
|
Management Web Server Access (including ASDM and CSM)
|
http server enable \ http
|
Mobile User Security (MUS)
|
webvpn \ mus password \ mus server enable port \ mus
|
REST API
|
rest-api image disk0:/rest-api agent
|
SSL VPN
|
webvpn \ enable
|
Napomena: Management Web Server Access i REST API mogu biti ranjivi samo s IP adresom u konfiguriranom rasponu http naredbe.
Cisco FTD ranjiva konfiguracija
U sljedećoj tablici, lijeva kolona navodi potencijalno ranjive značajke Cisco FTD softvera, dok desna kolona označava osnovnu konfiguraciju značajke iz show running-config CLI naredbe, ukoliko ju je moguće odrediti. Ove značajke mogu uzrokovati omogućavanje SSL listen socket.
Značajka Cisco FTD softvera
|
Potencijalno ranjiva konfiguracija
|
AnyConnect IKEv2 Remote Access (with client services)
|
crypto ikev2 enable [...] client-services port
|
AnyConnect SSL VPN
|
webvpn \ enable
|
HTTP server enabled
|
http server enable \ http
|
Cisco FTD softver je ranjiv samo kada je omogućen način zaključavanja (engl. lockdown mode) kako bi se ograničio pristup Linux konzoli (engl. shell). Prema zadanoj (engl. default) konfiguraciji način zaključavanja je onemogućen.
Preporuke:
Preporučuje se žurno ažuriranje na najnoviju dostupnu verziju Cisco Adaptive Security Appliance (ASA) softvera i/ili Cisco Firepower Threat Defense (FTD) softvera radi ublažavanja štetnih posljedica povezanih s navedenim ranjivostima. Također se preporučuje slijediti korake procjene kompromitacije kako bi se osiguralo da ranjivi uređaji nisu kompromitirani.
Procjena kompromitacije
Tvrtka Cisco Talos je objavila objavu za javno dostupne dokaze o konceptu pronalaska i iskorištavanja ranjivosti.
-
Prvo, organizacije bi trebale potražiti bilo kakav protok informacija prema/od ASA uređaja i bilo koje od IP adresa prisutnih na IOC popisu unutar objave. Što je jedan od pokazatelja da je potrebna daljnja istraga.
-
Dodatno, organizacije mogu koristiti naredbu show memory region | include lina kako bi identificirale još jedan pokazatelj kompromitacije. Ako generirani rezultat ukazuje na više od jednog izvršnog memorijskog područja (memorijska područja s r-xp dozvolama), posebno ako je jedna od tih memorijskih sekcija točno 0x1000 bajta, tada je to znak potencijalne manipulacije.
-
Također se preporučuje čak i u nedostatku više od jednog izvršnog memorijskog područja, slijediti korake "Forensic Recovery and Identification of Line Runner“ navedene u objavi.
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 26.04.2024 - 09:43]