( 1 ) 취약점 정보
[CVE-2018-0296] Cisco ASA Path Traversal 취약점은 ASA 장치에 Directory Traversal 기법을 이용하여 인증하지 않고 중요한 정보를 볼 수 있으며 더 나아가 DoS 공격도 가능한 취약점임.
참고로 Cisco ASA 장비는 기업에서 VPN 또는 방화벽 역할을 담당하는 장비임.
Cisco 사에서 06월 06일에 패치하였으며 그 날 KISA 보안공지에 올라왔음.
현재 POC 가 공개된 상태이며 취약한 Cisco ASA 장비 사용 시 중요한 정보가 노출 될 위험성이 있음.
공개된 POC 링크 :
https://github.com/yassineaboukir/CVE-2018-0296
https://github.com/milo2012/CVE-2018-0296
( 2 ) 취약점 분석
위 스샷은 기본적인 Cisco ASA 로그인 패널 화면임.
HTTP 통신을 분석한 결과, ASA 장비는 원칙적으로 /+CSCOU+/ 와 /+CSCOE+/ 이 2 디렉토리의 리소스를 참조함.
/+CSCOE+/ 내부의 서브 페이지는 인증을 요구할 수 있지만 /+CSCOU+/ 내부 서브 페이지는 인증이 필요하지 않음.
/+CSCOU+/ 의 미인증 페이지에 Directory Traversal 기법을 이용하여 /+CSCOE+/ 내부의 서브페이지로 리다이렉션시켜서 중요한 정보를 확인할 수 있음.
현재 확인된 POC 에서는 위 방식 대로 진행하는 것으로 확인됨
/+CSCOE+/files/file_list.json 을 입력 시 로그인 페이지로 리다이렉션 시킴.
여기에 file_list.json 파일을 사용 시 웹 인터페이스에서 파일 목록을 나열시킬 수 있다는 점을 이용하여 세션 ID 정보까지 확인함.
( 3 ) 취약점 방어 및 탐지
취약한 제품 :
3000 Series Industrial Security Appliance (ISA)
ASA 1000V Cloud Firewall
ASA 5500 Series Adaptive Security Appliances
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4100 Series Security Appliance
Firepower 9300 ASA Security Module
FTD Virtual (FTDv)
Cisco ASA 장비 사용 여부 및 패치 여부에 대해서 확인할 필요가 있으며 미 패치 시 신속한 패치가 필요함.
아래 Cisco 홈페이지 Software Center 에서 다운로드할 수 있음.
https://software.cisco.com/download/navigator.html
Snort 룰은 아래와 같이 적용시켜 탐지할 것!!!
KOROMOON_Cisco_ASA_Path_Traversal
alert tcp any any -> any any (msg:"KOROMOON_Cisco_ASA_Path_Traversal"; uricontent:"/|2B|CSCOU|2B|/"; content:"/|2B|CSCOE|2B|/files/file_list.json?path=/"; nocase;)
참고 사이트 :
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=27306&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9ZGlzcGxheV9jb250ZW50cyZzZWFyY2hfd29yZD1DVkUtMjAxOC0wMjk2Jng9NDgmeT0y
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://www.bleepingcomputer.com/news/security/cisco-asa-flaw-exploited-in-the-wild-after-publication-of-two-pocs/
https://sekurak.pl/opis-bledu-cve-2018-0296-ominiecie-uwierzytelnienia-w-webinterfejsie-cisco-asa/
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
댓글 없음:
댓글 쓰기