خلاصه: آسیب پذیری CVE-2020-3452 با امتیاز مبنای ۷.۵ در نرم افزارهای Firepower Threat Defense و Adaptive Security Appliance از محصولات پرکاربرد شرکت Cisco شناسایی شده است. با وجود عرضه رسمی وصلههای این آسیبپذیری متأسفانه تا کنون تنها ۱۰% از نرمافزارهای FTD و ASA بهروزرسانی شدهاند. این در حالی است که چندین حمله با سوءاستفاده از این آسیبپذیری گزارش شده است.
آسیب پذیری CVE-2020-3452 با امتیاز مبنای ۷.۵ در نرم افزارهای Firepower Threat Defense و Adaptive Security Appliance از محصولات پرکاربرد شرکت Cisco شناسایی شده است. نرمافزار FTD یکی از محصولات مدیریت ترافیک و امنیت شبکه سیسکو و نرمافزار ASA سیستمعامل خانواده ASA سری دستگاههای امنیت شبکه سیسکو هستند. مهاجم با سوءاستفاده از آسیبپذیری دو نرمافزار فوقالذکر قادر خواهد بود اطلاعات حساس(از جمله تنظیمات VPN ، کوکیهای وب و ...) سیستم هدف را از راه دور و بدون نیاز به احراز اصالت بدست آورد.
ریشه آسیب پذیری CVE-2020-3452،اعتبارسنجی نامناسب ورودی URLها در درخواستهای HTTP است. برای حمله، مهاجم بایستی درخواست HTTP دستکاری شده را که دنباله کاراکترهای directory traversal را شامل میشود برای سیستم هدف ارسال کند. سوءاستفاده موفّق از آسیبپذیری امکان مشاهده اسناد دلخواه مهاجم را در سیستم هدف فراهم میسازد.
این آسیب پذیری قابلیتهای تهاجمی بسیاری را برای مهاجم فراهم میسازد. از جمله آن که مهاجم میتواند اسناد دارای دسترسی محدود را خوانده و خارج از ریشه سرور وب دستورات دلخواه خود را اجرا کند. بعلاوه فایلهای خدمات وب که مهاجم قادر به خواندن آنها میشود اطلاعاتی چون پیکربندی WebVPN، کوکیهای وب، محتوای جزئی وب و آدرسهای URL را از سیستم تسخیرشده بدست آورد.
برای رفع این آسیبپذیری، شرکت Cisco وصلههایی را عرضه کرده است که بایستی هر چه زودتر اعمال شوند. به گزارش Rapid7 تا کنون تنها ۱۰% نرمافزارهای FTD و ASA بهروزرسانی شدهاند. این در حالی است که چندین حمله واقعی (برای مثال از آدرس IPv4 46[.]30.189.6) و شبهحملاتی توسط کارشناسان مطرح امنیت (شکلهای زیر) گزارش شده است.
جدول زیر بردار ویژگیهای این آسیبپذیری را نشان میدهد که بر اساس آنها امتیازدهی CVSS صورت پذیرفته است.
| بردار حمله | پیچیدگی حمله | نیاز به احراز اصالت | نیاز به تعامل با کاربر | نیاز به ارتقا امتیاز | تأثیر بر محرمانگی | تأثیر بر صحت | تأثیر بر دسترسپذیری |
|---|---|---|---|---|---|---|---|
| محلّی | زیاد | دارد | - | بالا | ندارد | ندارد | ندارد |
| مجاور شبکه | متوسط | دارد (یک بار) | دارد | کم | کم | کم | کم |
| شبکه | کم | ندارد | ندارد | ندارد | زیاد | زیاد | زیاد |
