CVE-2020-3580

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) contain an insufficient input validation vulnerability for user-supplied input by the web services interface. Successful exploitation could allow an attacker to perform cross-site scripting (XSS) in the context of the interface or access sensitive browser-based information.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (XSS) в веб-интерфейсе управления Cisco ASA/FTD. Атакующий может отправить специально сформированный HTTP-запрос с вредоносным JavaScript. Если администратор откроет скомпрометированную страницу в интерфейсе, злоумышленник сможет: * Выполнить произвольные действия от имени администратора в веб-интерфейсе. * Похитить сессионные cookies и данные для доступа к системе.

Как исправить

Установите исправленную версию ПО, соответствующую вашему основному релизу.

Для Cisco ASA: * 9.6 → Обновитесь до 9.6.4.46 или новее. * 9.7 → Обновитесь до 9.7.1.25 или новее. * 9.8 → Обновитесь до 9.8.4.20 или новее. * 9.9 → Обновитесь до 9.9.2.80 или новее. * 9.10 → Обновитесь до 9.10.1.45 или новее. * 9.12 → Обновитесь до 9.12.4.9 или новее. * 9.13 → Обновитесь до 9.13.1.21 или новее. * 9.14 → Обновитесь до 9.14.1.20 или новее.

Для Cisco FTD: * 6.2.2 → Обновитесь до 6.2.3.16 или новее. * 6.3.0 → Обновитесь до 6.3.0.6 или новее. * 6.4.0 → Обновитесь до 6.4.0.11 или новее. * 6.5.0 → Обновитесь до 6.5.0.5 или новее. * 6.6.0 → Обновитесь до 6.6.1 или новее.

Процедура обновления (пример для ASA): 1. Скачайте исправленный образ с Cisco Software Center. 2. Загрузите его на устройство (например, в раздел disk0:). 3. Установите новую версию и перезагрузитесь.

# Пример команд для ASA (выполняются в режиме enable)
copy tftp://<TFTP-сервер>/asa-<версия>.bin disk0:
boot system disk0:/asa-<версия>.bin
write memory
reload

Временное решение

Если немедленное обновление невозможно, выполните следующие действия:

  1. Ограничьте доступ к веб-интерфейсу:

    • Настройте ACL (Access Control List), разрешающий подключение к ASDM/FTD веб-интерфейсу только с доверенных IP-адресов администраторов. bash ! Пример для ASA access-list MGMT_ACL extended permit ip <trusted-admin-network> <mask> host <asa-mgmt-ip> access-list MGMT_ACL extended deny ip any any management-access inside http <trusted-admin-ip> <mask> inside http access-group MGMT_ACL in interface inside

  2. Отключите веб-интерфейс (крайняя мера):

    • Если ASDM или FMC не используются, полностью отключите HTTP/HTTPS-сервер. bash ! Команда для ASA no http server enable

  3. Настройте WAF (Web Application Firewall):

    • Разверните внешний WAF (например, F5 BIG-IP ASM, Imperva) перед интерфейсом управления и активируйте политики для блокировки X-атак.
    • Включите встроенные механизмы защиты, если они доступны (например, CSP — Content Security Policy, через локальные настройки веб-сервера, если поддерживается).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей