Vulnerabilidad de Path Traversal en Cisco ASA



El dia 6 de Junio Cisco liberó una vulnerabilidad de carácter alto registrada con el ID CVE-2018-0296,  la cual permite a un usuario no autenticado o un atacante remoto, causar un ataque de denegación de servicio, mediante una vulnerabilidad de Path Reverso. Es posible que con algunas versiones de sistema operativo el ataque no funcione pero en esos casos, el atacante es capaz de visualizar información sensible del sistema.

Productos vulnerables:


  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Determinar si tu asa tiene la característica vulnerable


Inicialmente hay que revisar si el puerto 443 de conexión ASDM esta disponible a conexión

Con el comando Show asp table socket | include SSL|DTLS, el administrador es capaz de revisar si ambos servicios están listos para escucha:


ciscoasa# show asp table socket | include SSL|DTLS
SSL       00185038  LISTEN     172.16.0.250:443    0.0.0.0:*
SSL       00188638  LISTEN     10.0.0.250:443      0.0.0.0:*
DTLS      0018f7a8  LISTEN     10.0.0.250:443      0.0.0.0:*    
 
Los administradores tambien pueden revisar con el comando Show Processes | include Unicorn para ver si esta un proceso vulnerable:


ciscoasa# show processes | include Unicorn
Mwe 0x0000557f9f5bafc0 0x00007f62de5a90a8 0x0000557fa52b50a0
3632 0x00007f62c8c87030 30704/32768 Unicorn Proxy Thread 218


Cisco adicionalmente indico que no existen mitigaciones al respecto de esta vulnerabilidad y ademas añadió una tabla de revisión de la vulnerabilidad.

Cisco ASA Software Release First Fixed Release for This Vulnerability
Prior to 9.11 Migrate to 9.1.7.29
9.1  9.1.7.29
9.2 9.2.4.33
9.31 Migrate to 9.4.4.18
9.4  9.4.4.18
9.51 Migrate to 9.6.4.8
9.6 9.6.4.8
9.7 9.7.1.24
9.8 9.8.2.28
9.9 9.9.2.1



 Explotación:


Nota: ejemplo de la explotación de la vulnerabilidad, es solo para fines educativos.

Según informa el sitio polaco Sekurak.pl Cisco asa cuando se realizan consultas HTTP siempre realiza una solicitud de autenticación con el directorio  /+CSCOE+/, mientras que las páginas que están dentro del directorio /+CSCOU+/ nunca solicitaron autenticación.

 

Como se ve en la página anterior la respuesta redirige al URL de inicio de sesion de cisco ASA
ratemos de reemplazar la ruta con lo siguiente: / + CSCOU + / . . / + CSCOE + / files / file_list . json

De esa manera se logró evadir la autenticación logra ingresar a información sensible del equipo. Con esto ya se puede saber a que cuenta se le puede hacer un ataque de fuerza bruta.




Segun informa el sitio blog.segu-info.com.ar ya están apareciendo las primeras herramientas para poder realizar la explotación de esta vulnerabilidad de manera mas sencilla.