CVE-2020-3259

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-02-15

Официальное описание

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) contain an information disclosure vulnerability. An attacker could retrieve memory contents on an affected device, which could lead to the disclosure of confidential information due to a buffer tracking issue when the software parses invalid URLs that are requested from the web services interface. This vulnerability affects only specific AnyConnect and WebVPN configurations.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-3259 представляет собой критическую уязвимость раскрытия информации (Information Disclosure) в веб-интерфейсе Cisco ASA и FTD. Проблема вызвана некорректным отслеживанием буфера при обработке специально сформированных (invalid) URL-адресов.

Злоумышленник может удаленно, без аутентификации, отправить запрос к веб-сервисам устройства и получить фрагменты содержимого оперативной памяти. Это может привести к утечке конфиденциальных данных, таких как: * Учетные данные пользователей (логины и пароли в открытом виде). * Сессионные токены и cookie. * Конфигурационные данные. * Ключи сертификатов.

Уязвимость проявляется только в конфигурациях, где включены функции AnyConnect или WebVPN (Clientless SSL VPN).

Как исправить

Основным способом устранения является обновление программного обеспечения Cisco ASA и FTD до исправленных версий.

  1. Определите текущую версию ПО:
show version | include Software
  1. Перейдите на одну из следующих (или более новых) версий в зависимости от вашей ветки:
  2. Cisco ASA: 9.6.4.42, 9.8.4.20, 9.9.2.74, 9.10.1.42, 9.12.3.9, 9.13.1.10.

  3. Cisco FTD: 6.2.3.16, 6.3.0.6, 6.4.0.8, 6.5.0.4.

  4. Загрузите соответствующий образ с Cisco Software Central и выполните обновление. Для ASA (через CLI):

copy tftp: flash:
boot system disk0:/[имя_нового_образа].bin
write memory
reload
  1. Для FTD обновление выполняется через Firepower Management Center (FMC) или локальный менеджер (FDM) путем установки соответствующего Patch/Hotfix.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки. Полных обходных путей (workarounds) без отключения функционала не существует, однако рекомендуются следующие действия:

  1. Отключите функции WebVPN и AnyConnect на интерфейсах, смотрящих в публичные сети, если они не используются:
webvpn
 no enable [interface_name]
  1. Настройте списки контроля доступа (ACL) для ограничения доступа к веб-интерфейсу устройства только с доверенных IP-адресов:
http [trusted_network] [mask] [interface_name]

  1. Используйте системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга аномальных GET/POST запросов к веб-сервисам ASA/FTD.

  2. После установки патча рекомендуется принудительно завершить все активные сессии и сменить пароли пользователей, так как они могли быть скомпрометированы до момента исправления.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей