Cisco ASA ja Firepower -tuotteissa kriittinen haavoittuvuus

Cisco on julkaissut päivitykset tähän haavoittuvuuteen 22.7.2020. Esimerkkikoodi haavoittuvuuteen on saatavilla joten suosittelemme, että päivittäminen tehdään heti.

Ciscon verkkolaitteiden haavoittuvuus koskee ASA:n ja Firepowerin tiettyjä ohjelmistoversioita. Haavoittuvuus mahdollistaa tunnistautumisen ohittamisen ja arkaluontoisten tietojen lukemisen.

Haavoittuvuus johtuu verkko-osoitteiden puutteellisesta syötteentarkastuksesta HTTP-pyynnöissä.

Hyökkääjä voi hyväksikäyttää haavoittuvuutta lähettämällä räätälöidyn HTTP-pyynnön laitteelle saaden pääsyn lukemaan mielivaltaisesti laitteen verkkopalvelujärjestelmän tietoja.

Haavoittuva verkkopalvelu on käytössä silloin, kun WebVPN tai AnyConnect on otettu käyttöön. Tämä haavoittuvuus ei kuitenkaan päästä hyökkääjää käsiksi ASA:n tai Firepowerin järjestelmätietoihin.

Haavoittuvuuden kohde

Cisco ASA

Aiempi kuin 9.6 ei ole tuettu, suositellaan siirtymään tuettuun versioon
9.6 tulee päivittää versioon 9.6.4.42
9.7 ei ole tuettu, suositellaan siirtymään tuettuun versioon
9.8 tulee päivittää versioon 9.8.4.20
9.9 tulee päivittää versioon 9.9.2.74
9.10 tulee päivittää versioon 9.10.1.42
9.12 tulee päivittää versioon 9.12.3.12
9.13 tulee päivittää versioon 9.13.1.10
9.14 tulee päivittää versioon 9.14.1.10

Cisco FTD

Aiempi kuin 6.2.2 ei ole haavoittuva
6.2.2 ei ole tuettu, suositellaan siirtymään tuettuun versioon
6.2.3 tulee päivittää versioon 6.2.3.16
6.3.0 siirry versioon 6.4.0.9 + Hot Fix*/vaihtoehtoiset korjaukset 6.6.0.1 tai 6.3.0.5 + Hot Fix1* (08/2020) tai 6.3.0.6 (syksy 2020)
6.4.0 tulee päivittää versioon 6.4.0.9 + Hot Fix1* tai 6.4.0.10 (08/2020)
6.5.0 siirry versioon 6.6.0.1/vaihtoehtoiset korjaukset 6.5.0.4 + Hot Fix1* (08/2020) tai 6.5.0.5 (syksy 2020)
6.6.0 tulee päivittää versioon 6.6.0.1

*Tarkemmat Hot Fix tiedot löytyvät Ciscon tiedotteesta Ulkoinen verkkopalvelu.

Mistä on kysymys?

Cisco on julkaissut ilmaisen päivityksen, joka suositellaan asentamaan.

Haavoittuvuus ei koske Cisco Firepower Management Center (FMC) ohjelmistoa.

Mitä voin tehdä?

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Read-Only Path Traversal Vulnerability Ulkoinen verkkopalvelu.

CVE-2020-3452 Ulkoinen verkkopalvelu.

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.