Vulnerabilidades descubiertas por Rapid7 en el software de Cisco

Rapid7 descubrió vulnerabilidades y problemas "no relacionados con la seguridad" que afectan al software de seguridad adaptable (ASA) de Cisco, al administrador de dispositivos de seguridad adaptable (ASDM) y al software de servicios FirePOWER para ASA.


Vulnerabilidades, persona en computadora

Rapid7 inicialmente informó los problemas a Cisco en divulgaciones separadas en febrero y marzo de 2022. Rapid7 y Cisco continuaron discutiendo el impacto y la resolución de los problemas hasta agosto de 2022. La siguiente tabla enumera las vulnerabilidades y el último estado actual que pudimos verificar nosotros mismos. Nota: Cisco notificó a Rapid7 cuando este blog iba a imprimirse que habían lanzado un software actualizado. No hemos podido verificar estas correcciones, pero las hemos marcado **en la tabla.


Para obtener información sobre las comprobaciones de vulnerabilidades en InsightVM y Nexpose, consulte la Rapid7 customerssección al final de este blog.


Descripción del Producto


El software Cisco ASA es un "sistema operativo central para la familia Cisco ASA". Cisco ASA son firewalls de clase empresarial ampliamente implementados que también admiten VPN, IPS y muchas otras funciones.


Cisco ASDM es una interfaz gráfica de usuario para la administración remota de dispositivos mediante el software Cisco ASA.


FirePOWER Services Software es un conjunto de software que admite la instalación del módulo FirePOWER en Cisco ASA 5500-X con FirePOWER Services.


Análisis


De todos los problemas informados, Rapid7 cree que los siguientes son los más críticos.


CVE-2022-20829: el paquete binario ASDM no está firmado


El paquete binario de Cisco ASDM está instalado en Cisco ASA. Los administradores que usan ASDM para administrar su ASA descargan e instalan Cisco ASDM Launcher en su sistema Windows o macOS. Cuando el iniciador de ASDM se conecta al ASA, descargará una gran cantidad de archivos Java del ASA, los cargará en la memoria y luego pasará la ejecución al Java descargado.


Imagen referencial de Rapid7.

El instalador del iniciador de ASDM, los archivos de clase de Java, el portal web de ASDM y otros archivos están incluidos en el paquete binario de ASDM distribuido por Cisco. Rapid7 analizó el formato del paquete binario y determinó que carecía de cualquier tipo de firma criptográfica para verificar la autenticidad del paquete (ver CWE-347 ). Descubrimos que podíamos modificar el contenido de un paquete ASDM, actualizar un hash en el encabezado del paquete e instalar con éxito el paquete en un Cisco ASA.


El resultado es que un atacante puede crear un paquete ASDM que contenga instaladores maliciosos, páginas web maliciosas y/o Java malicioso. Un ejemplo de explotación utilizando un paquete ASDM malicioso es el siguiente: un administrador que utiliza el cliente ASDM se conecta al ASA y descarga/ejecuta Java proporcionado por el atacante. El atacante entonces tiene acceso al sistema del administrador (por ejemplo, el atacante puede enviarse a sí mismo un shell inverso). Slingshot APT ejecutó un ataque similar contra los enrutadores Mikrotik y la herramienta administrativa Winbox.


El valor de esta vulnerabilidad es alto porque el paquete ASDM es un paquete distribuible. Un paquete ASDM malicioso puede instalarse en un ASA en un ataque a la cadena de suministro, instalado por un interno, instalado por un proveedor/administrador externo, o simplemente estar disponible "gratis" en Internet para que los administradores lo descubran por sí mismos (descargando ASDM de Cisco requiere un contrato válido).


Rapid7 ha publicado una herramienta, the way , que demuestra cómo extraer y reconstruir paquetes ASDM "válidos". La forma también puede generar paquetes ASDM con un shell inverso integrado. El siguiente video -> https://play.vidyard.com/nZirCoQHpnAYbnzoJ5f77w.jpg muestra a un usuario administrativo activando el shell inverso simplemente conectándose al ASA.


Nota: Cisco comunicó el 11 de agosto de 2022 que había lanzado nuevas imágenes de software que resuelven CVE-2022-20829. Todavía no hemos verificado esta información.


CVE-2021-1585: Parche fallido


La investigación de vulnerabilidades de Rapid7 describió previamente la explotación de CVE-2021-1585 en AttackerKB . La vulnerabilidad permite que un extremo intermediario o malvado ejecute código Java arbitrario en el sistema de un administrador de ASDM a través del iniciador de ASDM (similar a CVE-2022-20829). Cisco reveló públicamente esta vulnerabilidad sin un parche en julio de 2021. Sin embargo, en el momento de escribir este artículo, la página de divulgación exclusiva para clientes de Cisco para CVE-2021-1585 indica que la vulnerabilidad se solucionó con el lanzamiento de ASDM 7.18.1.150 en junio de 2022.


Imagen referencial de Rapid7.

Rapid7 demostró rápidamente a Cisco que esto es incorrecto. Usando nuestro exploit público para CVE-2021-1585, staystaystay , Rapid7 pudo demostrar que el exploit funciona contra ASDM 7.18.1.150 sin ningún cambio de código .


El siguiente video muestra cómo descargar e instalar 7.18.1.150 desde un ASA y luego usarlo staystaystaypara explotar el nuevo iniciador de ASDM. staystaystaysolo recibió dos modificaciones:

  • El version.proparchivo en el servidor web se actualizó para indicar que la versión de ASDM es 8.14(1) para activar el nuevo comportamiento de carga.

  • El archivo /public/jploader.jarse descargó del ASA y se agregó al staystaystayservidor web.

  • Ver video para mejor ilustración -> https://play.vidyard.com/MdYwtoEUWWMSkTxgS5moZh.jpg


Además, ASDM 7.18.1.150 aún es explotable cuando encuentra versiones anteriores de ASDM en el ASA. A continuación, se muestra que Cisco agregó una ventana emergente al cliente ASDM que indica que conectarse al ASA remoto puede ser peligroso, pero permite que la explotación continúe si el usuario hace clic en "Sí": https://play.vidyard.com/ffKyzkLoK67x7wu4aSfRaJ.jpg


CVE-2021-1585 es una vulnerabilidad grave. Los ataques Man-in-the-middle son triviales para APT bien financiados . A menudo tienen la posición de la red y el motivo. Tampoco ayuda que ASDM no valide el certificado SSL del servidor remoto y utilice la autenticación básica HTTP de forma predeterminada (lo que lleva a la divulgación de la contraseña al MITM activo). El hecho de que esta vulnerabilidad haya sido pública y sin parches durante más de un año debería preocupar a cualquiera que administre Cisco ASA mediante ASDM.


Si Cisco lanzó un parche de manera oportuna, no está claro qué tan ampliamente se adoptaría el parche. Rapid7 escaneó Internet en busca de portales web de ASDM el 15 de junio de 2022 y examinó las versiones de ASDM que se utilizan en la naturaleza. ASDM 7.18.1 se había lanzado una semana antes y menos del 0,5 % de los ASDM con acceso a Internet habían adoptado 7.18.1. Rapid7 encontró que la versión más popular de ASDM es la 7.8.2 , una versión que se lanzó en 2017.


Nota: Cisco comunicó el 11 de agosto de 2022 que había lanzado nuevas imágenes de software que resuelven CVE-2021-1585. Todavía no hemos verificado esta información.


Imagen referencial de Rapid7.

Referencias y Créditos:

Este problema fue descubierto por Jake Baines de Rapid7 y se divulga de acuerdo con la política de divulgación de vulnerabilidades de Rapid7.


Para más información al respecto, te compartimos el enlace del análisis completo: https://www.rapid7.com/blog/post/2022/08/11/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software/?fbclid=IwAR0O9C92uBYXbdk3z5TtoPycHr7DTDcNLsDHIYawpS-eaI4gEhQHPpjI_jo

5 visualizaciones0 comentarios