سوءاستفاده مهاجمان از آسیب‌پذیری Cisco ASA

در پی انتشار عمومی نمونه کد بهره‌جوی CVE-2020-3580، برخی منابع از سوءاستفاده مهاجمان از این آسیب‌پذیری خبر داده‌اند.

CVE-2020-3580 ضعفی از نوع Cross-site Scripting – به اختصار XSS – است که محصولات Cisco ASA از آن تأثیر می‌پذیرند.

در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده رخدادهای اخیر در خصوص این آسیب‌پذیری مورد بررسی قرار گرفته است.

در آبان 1399، سیسکو (Cisco Systems, Inc) اصلاحیه‌ای را برای این آسیب‌پذیری منتشر کرد. اما بررسی‌های بعدی نشان داد که اصلاحیه مذکور دارای نواقصی است که در نسخه دیگری که در اردیبهشت امسال عرضه شد به طور کامل برطرف شد.

نکته قابل توجه اینکه از 3 تیر PoC آسیب‌پذیری CVE-2020-3580 در دسترس عموم قرار گرفته است.

سوءاستفاده از این آسیب‌پذیری از طریق روش‌هایی همچون ایمیل‌های فیشینگ یا لینک‌های مخرب به کاربر دستگاه، مهاجم را قادر خواهد کرد تا بدون نیاز به هر گونه اصالت‌سنجی اقدام به اجرای اسکریپت JavaScript مخرب بر روی دستگاه کند.

در نمونه PoC منتشر شده زمانی که کاربر به یک صفحه وب حاوی Exploit وارد می‌شود یک پیام نمایش داده می‌شود. با این توضیح که این نمونه را می‌توان به نحوی تغییر داد که بجای نمایش پیام، هر گونه کد دلخواه را اجرا کند.

اکنون شرکت تن‌بل (Tenable, Inc) گزارش داده که مهاجمان به طور فعال در حال سوءاستفاده از آسیب‌پذیری CVE-2020-3580 هستند. تن‌بل اشاره‌ای به اقدامات انجام شده توسط این مهاجمان پس از اجرای Exploit نکرده است. مشروح گزارش تن‌بل در لینک زیر قابل مطالعه است:

https://www.tenable.com/blog/cve-2020-3580-proof-of-concept-published-for-cisco-asa-flaw-patched-in-october

به تمامی راهبران توصیه اکید می‌شود تا با مراجعه به توصیه‌نامه زیر نسبت به غیرآسیب‌پذیر بودن دستگاه‌های ASA مورد استفاده در سازمان اطمینان حاصل کنند:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZe#fs