首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-3452 | Cisco ASA/FTD目录遍历缝隙公告

颁布功夫 2020-07-23

0x00 缝隙概述

CVE ID	CVE-2020-3452	时间	2020-07-23
类型	PT	等级	高危
远程利用	是	影响领域

0x01 缝隙详情

GA黄金甲·(中国区)官方网站

2020年7月22日，Cisco颁布安全布告，建复了一个Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）软件的目录遍历缝隙（CVE-2020-3452）。

Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台重要用于对数据和网络资源的高度安全的接见等，Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。

该缝隙源于ASA和FTD的 web 服务接口在处置HTTP要求的URL时不足正确的输入验证，导致攻击者能够在指标设备上查看系统内的肆意文件。

把稳：当设备配置了WebVPN或AnyConnect职能，将启用Web服务时，才会受到该缝隙影响，但是该缝隙不能用于接见ASA或FTD系统文件或底层操作系统(OS)文件。

目前已公开了该缝隙的PoC，链接如下：

https://twitter.com/aboul3la/status/1286012324722155525

0x02 影响领域

以下是CVE-2020-3452缝隙受影响的系统版本：

Cisco ASA 设备影响版本:

<9.6.1

9.6 < 9.6.4.42

9.71

9.8 < 9.8.4.20

9.9 < 9.9.2.74

9.10 < 9.10.1.42

9.12 < 9.12.3.12

9.13 < 9.13.1.10

9.14 < 9.14.1.10

Cisco FTD设备影响版本：

6.2.2

6.2.3 < 6.2.3.16

6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

6.4.0 < 6.4.0.9 + Hot Fix

6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

6.6.0 < 6.6.0.1

ASA和FTD设备易受攻击的配置如下:

GA黄金甲·(中国区)官方网站

0x03 措置建议

目前厂商已颁布新版本，详见下表，左列是受该缝隙影响的软件版本，右列是厂商颁布的更新版本：

Cisco ASA：

GA黄金甲·(中国区)官方网站

Cisco ASA软件9.5版及更早版本以及9.7版已经终场守护。

Cisco FTD：

GA黄金甲·(中国区)官方网站

上图中关于Cisco FTD Hot Fix 细节，详见下图：

GA黄金甲·(中国区)官方网站

升级Cisco FTD版本，用户能够选择以下其中一个步骤执行：

? 对于Cisco Firepower Management Center（FMC），使用FMC界面装置升级。装置实现后，沉新利用接见节造战术；

? 对于Cisco Firepower Device Manager（FDM），使用FDM界面装置升级。装置实现后，沉新利用接见节造战术。

0x04 有关新闻

https://www.security-database.com/detail.php?alert=CVE-2020-3452

0x05 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

0x06 功夫线

2020-07-22 Cisco颁布安全布告

2020-07-23 VSRC颁布缝隙公告

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CVE-2020-3452 | Cisco ASA/FTD目录遍历缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线