La vulnerabilidad, identificada como CVE-2020-3452 , afecta la interfaz de servicios web del software de dispositivo de seguridad adaptable (ASA) de Cisco y el software Firepower Threat Defense (FTD), que se ejecutan en los firewalls de la compañía.

Según el gigante de las redes, un atacante puede explotar la vulnerabilidad sin autenticación enviando una solicitud HTTP con secuencias de caracteres transversales de directorio al dispositivo objetivo. Sin embargo, la compañía señaló que el ataque solo funciona si el dispositivo usa la función AnyConnect o WebVPN con una determinada configuración.

Cisco también ha destacado que la explotación de la vulnerabilidad solo permite al atacante acceder a los archivos en el sistema de archivos de servicios web, no a los archivos del sistema ASA o FTD o los archivos en el sistema operativo subyacente.

«Los archivos de servicios web que el atacante puede ver pueden tener información como la configuración de WebVPN, marcadores, cookies web, contenido web parcial y URL HTTP», explicó Cisco.

La vulnerabilidad fue reportada a Cisco por Mikhail Klyuchnikov de Positive Technologies e independientemente por Abdulrahman Nour y Ahmed Aboul-Ela de RedForce.

«La causa [de la vulnerabilidad] es una falla para verificar suficientemente las entradas», explicó Klyuchnikov. “Un atacante puede enviar una solicitud HTTP especialmente diseñada para obtener acceso al sistema de archivos (RamFS), que almacena datos en la RAM. Por lo tanto, un atacante podría leer ciertos archivos de WebVPN que contienen información como la configuración de WebVPN de los usuarios de Cisco ASA, marcadores, cookies, contenido web y direcciones URL HTTP «.

Cisco inicialmente dijo que no estaba al tanto de ningún ataque que explotara CVE-2020-3452, pero en cuestión de horas la compañía actualizó su aviso para informar a los clientes que se había puesto a disposición un exploit de PoC.

Aboul-Ela publicó un exploit de PoC en Twitter y otros publicaron un script NMAP para ello. El aviso de Cisco se actualizó nuevamente aproximadamente 24 horas después de la divulgación para decir que la compañía se había dado cuenta de la «explotación activa de la vulnerabilidad». No parece haber detalles disponibles sobre estos ataques.

Rapid7 informó haber visto 85,000 dispositivos ASA / FTD en Internet, incluidos 398 repartidos en el 17% de las compañías Fortune 500. Solo aproximadamente el 10% de los dispositivos expuestos se han reiniciado desde el lanzamiento del parche, lo que indica que probablemente hayan sido parcheados.

Fuente y redacción: securityweek.com

Compartir