Cisco ASA错误现在积极被剥削为POC掉落

研究人员在Twitter上删除了概念验证（PoC）在Cisco Adaptive Security Appliance（ASA）中已知的跨站点脚本（XSS）漏洞。该举动是报告表面的野外漏洞的探讨。

积极技术的研究人员于周四发布了PoC（CVE-2020-3580）。其中一个研究人员Mikhail Klyuchnikov指出，现在有一堆研究人员在攻击爆炸后，他被称为“低挂”水果。

@PTSWARM的低悬挂CVE-2020-3580的狩猎已经开始。许多提交/重复等待@bugcrowd和@ hacker0x01 #bugbounty

同时，工友研究人员发表了一个关于PoC的警报，注意到它已经开始在野外的目标上看到网络攻击。

“Tenable也收到了一份报告，攻击者在野外利用CVE-2020-3580，”根据其周四警报。 “通过这种新信息，Tenable建议组织优先修补CVE-2020-3580。”

事实上，PT POC推文已经满足了大量的“哦，谢谢”和“非常感谢你这么多”的回答，可能是来自愿意的黑客。

与此同时，Websec的研究人员指出，该错误可以被利用超过XSS：

您可以为此获得2个CVE号码，因为这不仅仅是XSS，还有CSRF。

“研究人员经常在向开发人员报告漏洞之前开发POC，并发布他们允许其他研究人员在竞技博斯特（Tenable）的高级研究工程师克莱尔·戈尔斯（Claire Till）允许其他研究人员才能检查他们的工作并潜在地挖掘他们的工作并发现其他问题。 “辩护人也可以使用POC来开发漏洞的检测。不幸的是，给予防守者的宝贵信息意味着它也可以在攻击者手中。“

鉴于这款漏洞已经提供了几个月的脆弱性，组织能够保护自己，这是0日披露的情况，她指出。 “然而，未被包除的漏洞继续困扰许多组织，”Tillis补充道。 “POC的公共可用性是另一个斯塔克提醒，有效修补是组织保护自己的重要步骤。”

Cisco ASA是一个网络安全的周边防御设备，将防火墙，防病毒，入侵防护和虚拟专用网络（VPN）功能相结合，所有这些都是阻止威胁在公司网络上进行威胁。该装置的折衷类似于解锁城堡的前门，用于阵雨的网络杀戮。

当恶意脚本注入良性和可信的网站时，会发生XSS攻击;受到受损网站的任何访客都会受到攻击的攻击。

在这种情况下成功的开发意味着未经身份验证的远程攻击者可以“在[ASA]接口中执行任意代码，并访问浏览器的信息”。

一旦进入，他们可以根据Leo Pate，NVISIUM的应用安全顾问进行修改设备的配置。

但是，目标需要登录攻击者的ASA以查看任何快乐。 “虽然这听起来很危险，利用此漏洞需要管理用户登录和导航到攻击者上传恶意代码的网页，”他添加。

作为工友研究人员表示：“攻击者需要说服”接口的用户“点击特制的链接。”这可以通过使用恶意链接的矛网络钓鱼电子邮件广告系列，或者通过浇水孔攻击来实现。

“攻击向量在合适的人中掌握了这一点，需要一个防火墙管理员被欺骗，以便单击巧妙的合作链接，”煤火解决办法校长和调查校长的Andrew Barratt告诉威胁策略。 “防火墙管理员需要确保他们无法访问出来自外部的ASA接口的链接。”

由于其占地面积的纯粹规模（包括在财富500强公司），思科ASA对Cyber​​Actackers的关注并不陌生。例如，去年，设备中的另一个错误的公共PoC（CVE-2020-3452）开始制作轮次，导致剥削努力的速度。

作为CVE-2020-3580追踪的缺陷在10月21日被修补，作为思科ASA的一组XSS问题的一部分以及火力威胁防御（FTD）软件，这是一个包括ASA管理的统一防火墙图像。

“所有四种漏洞都存在，因为Cisco ASA和FTD软件Web服务不充分验证用户提供的输入，”根据咨询“，其中指出，CVSSv3漏洞 - 严重性缩放的10个中的81个中的错误。

弱势设备的数量可能是重要的：去年Rapid7的研究人员发现有85,000个可访问的ASA设备。当然，这些百分比可以针对这种特殊的脆弱性修补。

“剥削可能坐在消失的周边的电器通常是[来自黑客]的Garner兴趣，但在这种情况下，在Vectra的CTO团队的技术总监蒂姆韦德有至少两件事，蒂姆·韦德（Tim Wade）告诉Threatpost 。 “首先，自10月以来已有补丁。其次，需要一个社会工程的要素。这应该为具有合理补丁周期和安全意识计划的组织提供一些级别的信心。“

更新到受影响的设备软件的最新版本当然是推荐的;然而，有更多的是减轻脆弱性，NVISIUM的贝尔展示。

“组织可以要求他们的内部团队如果需要使用Web管理界面，如果是的话，它可以在互联网上的每个人或内部到我们的组织吗？如果不需要Web管理界面，那么它应该被禁用，“他告诉威胁普通。

加入威胁普通“提示和策略以获得更好的威胁狩猎” - 周三的现场活动，6月30日在上午2:00与Palo Alto Networks合作。从Palo Alto的单位学习42专家最好捕杀威胁以及如何使用自动化来帮助的最佳方式。免费注册！