首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-3452 | Cisco ASA/FTD目录遍历误差通告

宣布时间 2020-07-23

0x00 误差概述

CVE ID	CVE-2020-3452	时间	2020-07-23
类型	PT	等级	高危
远程使用	是	影响规模

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2020年7月22日，，，，，Cisco宣布清静通告，，，，，修复了一个Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）软件的目录遍历误差（CVE-2020-3452）。。。。。。

Cisco Adaptive Security Appliances Software是一套防火墙和网络清静平台。。。。。。该平台主要用于对数据和网络资源的高度清静的会见等，，，，，Cisco Firepower Threat Defense是一套提供下一代防火墙效劳的统一软件。。。。。。

该误差源于ASA和FTD的 web 效劳接口在处置惩罚HTTP请求的URL时缺乏准确的输入验证，，，，，导致攻击者可以在目的装备上审查系统内的恣意文件。。。。。。

注重：当装备设置了WebVPN或AnyConnect功效，，，，，将启用Web效劳时，，，，，才会受到该误差影响，，，，，可是该误差不可用于会见ASA或FTD系统文件或底层操作系统(OS)文件。。。。。。

现在已果真了该误差的PoC，，，，，链接如下：

https://twitter.com/aboul3la/status/1286012324722155525

0x02 影响规模

以下是CVE-2020-3452误差受影响的系统版本：

Cisco ASA 装备影响版本:

<9.6.1

9.6 < 9.6.4.42

9.71

9.8 < 9.8.4.20

9.9 < 9.9.2.74

9.10 < 9.10.1.42

9.12 < 9.12.3.12

9.13 < 9.13.1.10

9.14 < 9.14.1.10

Cisco FTD装备影响版本：

6.2.2

6.2.3 < 6.2.3.16

6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

6.4.0 < 6.4.0.9 + Hot Fix

6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

6.6.0 < 6.6.0.1

ASA和FTD装备易受攻击的设置如下:

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

0x03 处置惩罚建议

现在厂商已宣布新版本，，，，，详见下表，，，，，左列是受该误差影响的软件版本，，，，，右列是厂商宣布的更新版本：

Cisco ASA：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Cisco ASA软件9.5版及更早版本以及9.7版已经阻止维护。。。。。。

Cisco FTD：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

上图中关于Cisco FTD Hot Fix 细节，，，，，详见下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

升级Cisco FTD版本，，，，，用户可以选择以下其中一个要领执行：

? 关于Cisco Firepower Management Center（FMC），，，，，使用FMC界面装置升级。。。。。。装置完成后，，，，，重新应用会见控制战略；；；；；；；

? 关于Cisco Firepower Device Manager（FDM），，，，，使用FDM界面装置升级。。。。。。装置完成后，，，，，重新应用会见控制战略。。。。。。

0x04 相关新闻

https://www.security-database.com/detail.php?alert=CVE-2020-3452

0x05 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

0x06 时间线

2020-07-22 Cisco宣布清静通告

2020-07-23 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-3452 | Cisco ASA/FTD目录遍历误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线