|
| |
|
| <![CDATA[<span id="7ztzv"></span>]]><![CDATA[<form id="7ztzv"></form>]]> | | |
|
<![CDATA[<span id="7ztzv"></span>]]> |
|
|
|
|
<![CDATA[<address id="7ztzv"></address>]]>
| |
0x00 漏洞簡介:
Cisco Adaptive Security Appliance (ASA) Software在Clientless SSL VPN入口自定義框架在實現上存在安全漏洞,未經身份驗證的遠程攻擊者可利用此漏洞修改Clientless SSL VPN入口內容,導致竊取憑證、跨站腳本及其他攻擊。此漏洞源于沒有正確實現Clientless SSL VPN入口自定義框架內的身份驗證檢查。
0x01 漏洞詳情:
首先問題總結一下就是越權,在思科VPN的登錄入口設置處可以設置一些title以及logo等。但是這些地方是可以被越權修改掉的,并且這些地方還存在xss。 如下圖:
這個是本地搭建一個VPN然后來復現的,這是更改的vpn入口處的title,插入的JS。 那么為什么會造成這個原因呢?我們來看下老外的文章。
里面曾說到:
check on some of the administrative interface pages can be bypassed by
setting the cookie value to any valid file on the file system.
在一些管理界面的可以通過設置cookie值為文件系統上存在的文件即可繞過登錄。(英文渣,對著google翻譯扣下來的英文)
具體缺陷代碼如下:
Function CheckAsdmSession(cookie,no_redirect)
……..
Local f = io.open(‘asdm/’..cookie, “r”)
If f ~= nil then
f:close()
return true;
end
單單這樣可能比較難理解,我們來結合檢測方式來看一遍。同樣在上個連接中老外給了這樣一個post包(burpsuite)的。
可以看到上圖的POST包中指定了Cookie為ced=../../locale/ru/LC_MESSAGES/webvpn.mo; 如果對方存在這個漏洞且能利用的話是會得到這樣一個返回值:
http狀態碼為302,這樣的話就代表存在且能利用造成影響。 為什么我要說存在且能利用造成影響,難道還有存在且不能造成影響的? 還別說,真有。一開始我認為這個漏洞,這么厲害那么影響肯定廣泛結果自己復現后發現并不是那樣,利用起來有個條件 看下圖:
跟上圖相比cookie值也設置了,post包的內容又是一樣,地址又是一樣。 為什么這次會返回200呢?秉著刨根問底的精神,我又仔仔細細的測了一遍,重新搭了幾次VPN做一步記錄一下。 最后發現了關鍵所在,就是Cisco ASDM上你必須點過Configuration選項卡的Customization頁面的preview(預覽)按鈕。 如果沒有點過preview(預覽)按鈕的話,即使是存在漏洞的版本也不能利用造成影響。 如下圖:
所以當你去測試存在漏洞的設備時,卻發現返回的是200請不要胡思亂想,就是這個原因。 另外經過測試發現,點過之后如果設備沒有關機重啟那么可以一直利用,如果關機重啟了那就呵呵了只能等下一次點preview(預覽)按鈕了。
但是也不要覺得雞肋,今天我跟我的小伙伴寫了個exp用來檢測(真的只是檢測),測試的都是國外有名的大學,發現10個大學3-4個可以利用。
說了這么久如何檢測,那么我們來說正事,我們應該如何復現攻擊呢?
在這個鏈接中,老外給了一個burpsuite的包,我們可以重載包來恢復狀態,恢復后就有4個Repeater,我們只需把host跟target都修改成目標依次發包就可以了!
關于更多的資料在Ruxcon2014上已經有大神寫的PDF了
附視頻: CVE-2014-3393
受影響版本:
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.0.45
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.1.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.2
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.10
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.12
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.16
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.17
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.3
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.4
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.4.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.4.4
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.13
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.22
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.26
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.33
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.40
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.41
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.46
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.48
- cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.50
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.4
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.6
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.13
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.23
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.25
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.31
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.33
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.34
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.37
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.39
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.4
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.40
- cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.41
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.1.11
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.1.3
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.2.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.2
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.2.8
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.3
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.3.8
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.3.9
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.4
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.3
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.5
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.9
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.5
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.5.6
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.6
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.7
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.3
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.15
- cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.22
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.1
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.10
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.12
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.13
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.14
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.2
- cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.5
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.1
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.2
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.2.10
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.3
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.3.6
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.3.8
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.1
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.17
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.20
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.5
- cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.7
- cpe:/a:cisco:adaptive_security_appliance_software:9.1..1
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.1.4
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.2
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.2.8
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.3
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.3.2
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.4
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.5
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.5.10
- cpe:/a:cisco:adaptive_security_appliance_software:9.1.5.15
- cpe:/a:cisco:adaptive_security_appliance_software:9.3.1
修復方案: 目前思科已在2014年10月8號發布了補丁,連接: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
附burpsuite包的下載地址:https://github.com/breenmachine/various
|
| |
|
| <![CDATA[<span id="7ztzv"></span>]]><![CDATA[<form id="7ztzv"></form>]]> | | |
|
<![CDATA[<span id="7ztzv"></span>]]> |
|
|
|
|
<![CDATA[<address id="7ztzv"></address>]]>
| |