CVE-2014-2120

Cisco Adaptive Security Appliance (ASA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-12

Официальное описание

Cisco Adaptive Security Appliance (ASA) contains a cross-site scripting (XSS) vulnerability in the WebVPN login page. This vulnerability allows remote attackers to inject arbitrary web script or HTML via an unspecified parameter.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2014-2120 представляет собой уязвимость типа Cross-Site Scripting (XSS), обнаруженную в веб-интерфейсе Cisco Adaptive Security Appliance (ASA), а именно на странице авторизации сервиса WebVPN (AnyConnect SSL VPN).

Проблема заключается в недостаточной фильтрации входных данных в одном из параметров HTTP-запроса. Удаленный злоумышленник может отправить специально сформированную ссылку легитимному пользователю. Если пользователь перейдет по этой ссылке, в его браузере будет исполнен произвольный JavaScript-код в контексте безопасности сессии ASA. Это может привести к краже сессионных cookie-файлов, перехвату учетных данных или проведению фишинговых атак.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление микропрограммы (firmware) Cisco ASA до версий, в которых данная ошибка исправлена.

  1. Определите текущую версию ПО:
show version | include Software Revision
  1. Обновите ПО до одной из следующих веток (или более новых):
  2. Если используется ветка 8.2 — обновитесь до 8.2(5.48)
  3. Если используется ветка 8.4 — обновитесь до 8.4(7.15)
  4. Если используется ветка 9.0 — обновитесь до 9.0(4.8)

  5. Если используется ветка 9.1 — обновитесь до 9.1(5.1)

  6. Процедура загрузки и применения образа (пример):

copy tftp: flash:
boot system disk0:/asa915-1-smp-k8.bin
write memory
reload

Временные меры

Если немедленное обновление устройства невозможно, рекомендуется применить следующие компенсирующие меры контроля:

  1. Ограничение доступа к WebVPN: Используйте списки контроля доступа (ACL) для ограничения доступа к интерфейсу управления и портам SSL VPN только с доверенных IP-адресов.
access-list OUTSIDE_IN extended permit tcp host [TRUSTED_IP] any eq 443
access-group OUTSIDE_IN in interface outside

  1. Использование внешних средств защиты (WAF): Разместите перед Cisco ASA межсетевой экран прикладного уровня (Web Application Firewall), настроенный на блокировку подозрительных GET/POST запросов, содержащих HTML-теги или скрипты в параметрах.

  2. Информирование пользователей: Проведите инструктаж персонала о недопустимости перехода по подозрительным ссылкам, ведущим на портал авторизации VPN, если они получены из недоверенных источников.

  3. Отключение неиспользуемых сервисов: Если функционал WebVPN/AnyConnect не используется на конкретном интерфейсе, его следует отключить:

webvpn
 no enable outside
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей