Poucas horas após publicar ontem uma correção de segurança para a vulnerabilidade CVE-2020-3452, que tem um grau de risco CVSS de 7,5, a Cisco atualizou seu comunicado para informar aos clientes que já havia na web uma prova de conceito (PoC) explicando como a falha poderia ser explorada. Em outras palavras, é um pedido para que os clientes atualizem com urgência o software dos firewalls que contêm a vulnerabilidade. A publicação da prova de conceito em geral marca o início das buscas pelos firewalls afetados e o início de ataques. As primeiras tentativas de explorar a falha foram observadas logo após a divulgação.
A vulnerabilidade CVE-2020-3452 afeta a interface de serviços da web do software ASA (Adaptive Security Appliance) da Cisco e do software Firepower Threat Defense (FTD), que rodam nos firewalls da empresa. Ela é uma vulnerabilidade de alta gravidade, já que os firewalls que podem ser explorados remotamente para a obtenção de arquivos potencialmente sensíveis no sistema.
A empresa Rapid7 informou ter localizado 85.000 dispositivos rodando ASA ou FTD na Internet, incluindo 398 instalados em 17% das empresas que pertencem à lista Fortune 500. Somente 10% dos dispositivos expostos foram reinicializados desde o lançamento do patch, o que indica que eles provavelmente foram corrigidos. Mas há outros 90% expostos, que significa cerca de 76 mil dispositivos.
O problema foi informado à Cisco por Mikhail Klyuchnikov, da Positive Technologies, e também por Abdulrahman Nour e Ahmed Aboul-Ela, da RedForce. “A causa é uma falha na verificação de entradas”, explicou Klyuchnikov. “Um invasor pode enviar uma solicitação HTTP especialmente criada para obter acesso ao sistema de arquivos (RamFS), que armazena dados na RAM. Assim, um invasor pode ler certos arquivos WebVPN que contêm informações como a configuração WebVPN dos usuários do Cisco ASA, indicadores, cookies, conteúdo da Web e endereços de URL HTTP”.
Com agências internacionais