Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-0296] Cisco ASA Info Leak DoS
작성일 2018-07-06 조회 1843

 

 

 

 

Cisco ASA (Adaptive Security Appliance) 소프트웨어에 영향을주는 CVE-2018-0296 취약점은 Directory Traversal 기술을 사용하여 서비스 거부 유발 및 정보 유출을 발생시킵니다.

 

6월 6일 Cisco의 취약점 패치가 있었고, CVE-2018-0296과 관련된 두 개의 PoC가 공개 되었습니다.
첫번째는 HackerOne 보안 분석가 Yassine Aboukir가 발표한 Python스크립트이고 두 번째는 보안 연구원 Keith Lee가 발표한 Go스크립트입니다.

 

 

Python PoC 스크립트 [https://github.com/yassineaboukir/CVE-2018-0296]

 

 

Go PoC 스크립트 (https://github.com/milo2012/CVE-2018-0296)

 

 

파이썬 PoC를 사용하면 공격자가 Cisco ASA 장치에서 데이터를 검색 할 수 있으며, Go 스크립트는 Cisco ASA 시스템에서 사용자 이름을 추출하는 것처럼 보입니다. 
Go PoC 스크립트는 암호를 검색하지는 않습니다. 이 두 PoC가 실제 필드에서 사용되는지는 아직 확인된바 없습니다.


지난 주에 두 개의 PoC가 공개되었을 때, 라우터/IoT 봇넷과 같은 대규모 공격에 대한 명확한 징후가 없었습니다. 
만약 PoC를 이용한 공격이 존재했다면, 제한적인 목표를 타겟으로 한 APT 유형의 공격이었을 가능성이 높습니다.

 

 


상세 분석

Cisco ASA장치는 포트 443을 통해 웹인터페이스에 접근이 가능합니다. 현재도 Shodan을 통해서 노출된 다수의 Cisco ASA 웹인터페이스가 검색됩니다.

 

 

Shodan을 통해서 노출된 취약한 Cisco ASA 웹 인터페이스

 


HTTP 통신을 분석 한 결과 ASA는 원칙적으로 / + CSCOU + /   및 / + CSCOE + / 라는 두 디렉토리의 리소스를 참조합니다 


이 두 디렉토리의 특징은 다음과 같습니다.

 / + CSCOE + / 내부의 서브 페이지 접근에 인증을 요구
 / + CSCOU + / 인증없이 접근

 

 

[https://sekurak.pl/opis-bledu-cve-2018-0296-ominiecie-uwierzytelnienia-w-webinterfejsie-cisco-asa/]

 

그림과 같이 인증이 필요한 경로에 접근시 보호된 경로로 리다이렉트가 됩니다.

 

 

[https://sekurak.pl/opis-bledu-cve-2018-0296-ominiecie-uwierzytelnienia-w-webinterfejsie-cisco-asa/]

 

이를 우회하기 위해 / + CSCOE + /  / + CSCOU + / 두 디렉토리를 이용한 Directory Traversal 취약점을 이용합니다.

 

이를 이용해 획득 할 수 있는 정보는 다음과 같습니다.

Directory Index
+CSCEO+ Directory
Active sessions
Active Users

 

현재 세션 활성화 된 사용자를 추적해 암호를 알아내 최종적으로 사이트 침투로 이어질 수 있는 취약점입니다.

 

외부에 노출된 Cisco ASA 웹인터페이스는 잠재적으로 아래와 같이 정보 유출의 가능성에 놓여 있습니다.

 

 

[실제 취약점 재현으로 유출된 장비 내부 정보]

 

 

이 과정에서 반복적인 프로세스 리로드가 발생하고 대상 시스템은 DoS 공격으로도 이어질 수 있습니다.

그래서 CVE-2018-0296 취약점은 Directory Traversal을 이용해 정보 유출을 동반한 DoS 취약점으로 정의할 수 있겠습니다.

 

 


취약시스템

Cisco 3000 Series Industrial Security Appliance (ISA)
Cisco ASA 1000V Cloud Firewall 
Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco Firepower 2100 Series Security Appliance
Cisco Firepower 4100 Series Security Appliance
Cisco Firepower 9300 ASA Security Module
Cisco FTD Virtual (FTDv)

 

 

 

해결방안

벤더사의 최신패치를 적용한다.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd

 

 

 

Sniper 제품군 대응방안
Sniper-IPS

[4379] Cisco ASA Web Path Traversal Info Leak DoS

Sniper-UTM

[805374609] Cisco ASA Web Path Traversal Info Leak DoS

Sniper-APTX

[3631] Cisco ASA Web Path Traversal Info Leak DoS

 

 


참조
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://sekurak.pl/opis-bledu-cve-2018-0296-ominiecie-uwierzytelnienia-w-webinterfejsie-cisco-asa/
https://www.exploit-db.com/exploits/44956/

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-0296