Cisco corrige 12 falhas de alta gravidade nos softwares ASA e FTD

Os softwares mais afetados são o Firepower Threat Defense (FTD) da Cisco, que faz parte de seu conjunto de produtos de segurança de rede e gerenciamento de tráfego, e seu software Adaptive Security Appliance (ASA), o sistema operacional para sua família de dispositivos de segurança de rede corporativa ASA.

A falha mais grave existe nas interfaces de serviço da web para o software ASA e o software FTD. Essa falha ( CVE-2020-3187 ) pode permitir que um invasor remoto não autenticado conduza ataques transversais ao diretório. Um ataque de desvio de diretório ocorre quando uma validação de segurança insuficiente ou limpeza de nomes de arquivos de entrada fornecidos pelo usuário é explorada.

A falha, que classifica 9.1 de 10.0 na escala CVSS, decorre da falta de validação de entrada adequada da URL HTTP na interface da web. Um invasor pode explorar a falha enviando uma solicitação HTTP especialmente criada que contém sequências de caracteres transversais ao diretório. “Uma exploração pode permitir que o invasor visualize ou exclua arquivos arbitrários no sistema de destino”, explicou Cisco. “Quando o dispositivo é recarregado após a exploração desta vulnerabilidade, todos os arquivos que foram excluídos são restaurados.“

Segundo o site Threat Post, pesquisadores da Positive Technologies, que relataram a falha, disseram que, ao explorar a vulnerabilidade no WebVPN, um invasor externo não autorizado também pode executar ataques de negação de serviço em dispositivos Cisco ASA após excluir arquivos do sistema.

“O bloqueio de VPN pode atrapalhar vários processos de negócios“, disse Mikhail Klyuchnikov, da Positive Technologies, em um email. “Por exemplo, isso pode afetar as conexões entre filiais em uma rede distribuída, interromper o email, o ERP e outros sistemas críticos. Outro problema é que os recursos internos podem ficar indisponíveis para os trabalhadores remotos. Isso é especialmente perigoso agora que muitos funcionários estão trabalhando remotamente devido ao surto de coronavírus. ”

Uma ressalva é que um invasor que explora essa falha só pode exibir e excluir arquivos no sistema de arquivos de serviços da Web (em oposição aos arquivos de sistema ASA ou FTD ou arquivos do sistema operacional subjacente). Este sistema de arquivos é ativado quando o dispositivo afetado é configurado com os recursos WebVPN ou AnyConnect, de acordo com a Cisco.

Falhas do software Cisco ASA

A Cisco corrigiu sete outras falhas de alta gravidade em seu software ASA e FTD, incluindo uma no recurso de autenticação Kerberos do ASA. Kerberos é um protocolo de autenticação comum para autenticação no local, usado em muitas interfaces ASA.

Essa falha ( CVE-2020-3125 ) pode permitir que um invasor remoto não autenticado se faça passar pelo KDC (centro de distribuição de chaves) Kerberos devido à verificação insuficiente de identidade do KDC. Os invasores podem ignorar a autenticação em um dispositivo afetado configurado para executar a autenticação Kerberos para VPN ou acesso ao dispositivo local.

“A Cisco usa o protocolo de autenticação Kerberos em muitas interfaces ASA – por exemplo, VPN, abrindo sessões de firewall e acesso administrativo, através do console de gerenciamento da web ou através do SSH”, disseram os pesquisadores de Silverfort que encontraram a falha . “Portanto, ignorar a autenticação Kerberos permite que um invasor assuma o controle do dispositivo Cisco, ignore sua segurança e obtenha acesso a outras redes.”

Outras falhas no ASA e no FTD incluem falhas de negação de serviço ( CVE-2020-3298 , CVE-2020-3191 , CVE-2020-3254 e CVE-2020-3196 ), uma vulnerabilidade de vazamento de memória ( CVE-2020-3195 ) e informações falha de divulgação ( CVE-2020-3259 ).

Falhas do software Firepower

A Cisco também corrigiu quatro falhas existentes apenas em seu software FTD, incluindo uma falha ( CVE-2020-3189 ) na funcionalidade de registro do sistema VPN do software. A vulnerabilidade decorre de a memória do sistema não ter sido liberada corretamente para um evento de registro do sistema VPN gerado quando uma sessão VPN é criada ou excluída, de acordo com o comunicado.

Um invasor remoto e não autenticado pode explorar essa falha criando ou excluindo repetidamente uma conexão de encapsulamento VPN, que vaza uma pequena quantidade de memória do sistema para cada evento de log – eventualmente causando o esgotamento da memória do sistema e levando a uma condição de DoS em todo o sistema. A única ressalva é que os invasores não têm controle sobre se o Log do sistema VPN está configurado ou não no dispositivo (mas está ativado por padrão).

Outras falhas de software FTD incluem falhas de DoS ( CVE-2020-3255) na funcionalidade de processamento de pacotes e no túnel de encapsulamento de roteamento genérico (GRE) ( CVE-2020-3179 ) e uma falha de DoS ( CVE-2020-3283 ) no Manipulador Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) do software FTD ao executar em dispositivos Cisco Firepower 1000 Series.

No geral, a Cisco emitiu 34 correções na quarta-feira, dia 06 de maio, incluindo 12 falhas de alta gravidade e 22 falhas de gravidade média. Essa onda mais recente de patches ocorre algumas semanas após a Cisco avisar sobre uma falha crítica no servidor da web de seus telefones IP, que, se explorada, pode permitir que um invasor remoto não autenticado execute código com privilégios de root ou inicie um ataque de negação de serviço.

Fonte: Threat Post & CISCO