Cisco a corrigé une vulnérabilité de traversée de chemin en lecture seule de haute gravité et activement exploitée affectant l’interface des services Web de deux de ses produits de pare-feu.

Si elle est exploitée avec succès, la vulnérabilité de sécurité suivie comme CVE-2020-3452 peut permettre à des attaquants non authentifiés de lire des fichiers sensibles sur des systèmes non corrigés via des attaques par traversée de répertoire.

Les produits concernés sont le logiciel Cisco Adaptive Security Appliance (ASA) – le système d’exploitation pour les appareils autonomes, les lames et les appareils virtuels Cisco ASA utilisé pour protéger les centres de données et les réseaux d’entreprise – et le logiciel Cisco Firepower Threat Defense (FTD) – un logiciel unifié fournir des services de pare-feu de nouvelle génération.

Donne accès uniquement aux fichiers du système de fichiers des services Web

La CVE-2020-3452 est causée par une validation d’entrée incorrecte des URL dans les requêtes HTTP, qui a permis aux attaquants d’exploiter la vulnérabilité en envoyant des requêtes HTTP spécialement conçues avec des séquences de caractères de traversée de répertoire aux périphériques affectés.

Une exploitation réussie pourrait permettre à des attaquants distants de lire des fichiers arbitraires sur les appareils ciblés, stockés dans le système de fichiers des services Web qui n’est activé que lorsque les appareils concernés sont configurés avec les fonctionnalités AnyConnect ou WebVPN.

« Les fichiers de services Web que l’attaquant peut afficher peuvent contenir des informations telles que la configuration WebVPN, des signets, des cookies Web, un contenu Web partiel et des URL HTTP », a déclaré Cisco.

Infos WEB:  Microsoft présente une nouvelle option de télémétrie d'entreprise uniquement pour Windows 10

Cependant, comme Cisco l’a expliqué plus en détail, « cette vulnérabilité ne peut pas être utilisée pour accéder aux fichiers système ASA ou FTD ou aux fichiers du système d’exploitation (OS) sous-jacents. »

Bien qu’aucune solution de contournement ne puisse être utilisée pour résoudre cette vulnérabilité, Cisco a publié des mises à jour de sécurité gratuites pour les périphériques exécutant des versions vulnérables du logiciel ASA / FTD.

La CVE-2020-3452 a été signalée de manière indépendante à Cisco par Mikhail Klyuchnikov de Positive Technologies, et Ahmed Aboul-Ela et Abdulrahman Nour de …

Voir la source de cette publication