Cisco waarschuwt organisaties voor actief misbruik van een kwetsbaarheid in de Cisco ASA (Adaptive Security Appliance)- en FTD (Threat Defense Software)-software waardoor een aanvaller toegang tot gevoelige gegevens kan krijgen. Cisco bracht op 22 juli een beveiligingsupdate voor het probleem uit. Een dag later was er proof-of-concept exploitcode online verschenen en maken aanvallers actief misbruik van het lek, aldus het netwerkbedrijf.
De ASA- en FTD-software draait op allerlei netwerkbeveiligingsapparaten van Cisco, die onder andere voor hun firewall- en vpn-functionaliteit worden gebruikt. De software blijkt een path traversal-kwetsbaarheid te bevatten die wordt veroorzaakt door het niet goed valideren van url's in http-verzoeken. Door het versturen van een speciaal geprepareerd http-verzoek kan een aanvaller willekeurige bestanden op het webservices-bestandssysteem van het apparaat bekijken.
Dit bestandssysteem staat ingeschakeld wanneer een Cisco ASA gebruikmaakt van de WebVPN of AnyConnect-features. Via de kwetsbaarheid is het niet mogelijk om toegang tot ASA- of FTD-systeembestanden of het onderliggende besturingssysteem te krijgen. Daardoor is de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 uitgekomen op een 7,5, meldt securitybedrijf Tenable.
De kwetsbaarheid (CVE-2020-3452) werd onafhankelijk door verschillende beveiligingsonderzoekers gevonden en aan Cisco gerapporteerd. Volgens Mikhail Klyuchnikov van Positive Technologies, één van de onderzoekers die het lek ontdekte, gaat het om een zeer gevaarlijke kwetsbaarheid. Een aanvaller kan namelijk toegang tot het RamFS-bestandssysteem krijgen, dat data in het ram-geheugen opslaat. Zo kan een aanvaller bepaalde WebVPN-bestanden uitlezen die de WebVPN-configuratie van Cisco ASA-gebruikers bevat, alsmede bookmarks, cookies, webcontent en url's.
Securitybedrijf Rapid7 laat weten dat het meer dan 85.000 Cisco ASA- en FTD-apparaten op internet heeft gevonden. 398 van deze apparaten staan bij 85 Fortune500-bedrijven. Volgens onderzoekers van het bedrijf is het zeer lastig om legaal op afstand de versie van de ASA-software te bepalen. Daarom heeft het gekeken naar de uptime van de apparaten. Die worden bij de installatie van een patch gereboot. De scan van Rapid7 laat zien dat tien procent van de ASA-firewalls sinds het uitkomen van de beveiligingsupdate is herstart.
Deze posting is gelocked. Reageren is niet meer mogelijk.