CVE-2014-3393詳細分析與復現

wyzsk發表於2020-08-19
作者: 0x_Jin · 2014/11/01 13:06

0x00 漏洞簡介:


Cisco Adaptive Security Appliance (ASA) Software在Clientless SSL VPN入口自定義框架在實現上存在安全漏洞,未經身份驗證的遠端攻擊者可利用此漏洞修改Clientless SSL VPN入口內容,導致竊取憑證、跨站指令碼及其他攻擊。此漏洞源於沒有正確實現Clientless SSL VPN入口自定義框架內的身份驗證檢查。

0x01 漏洞詳情:


首先問題總結一下就是越權,在思科VPN的登入入口設定處可以設定一些title以及logo等。但是這些地方是可以被越權修改掉的,並且這些地方還存在xss。 如下圖:

enter image description here

這個是本地搭建一個VPN然後來複現的,這是更改的vpn入口處的title,插入的JS。 那麼為什麼會造成這個原因呢?我們來看下老外的文章

裡面曾說到:

check on some of the administrative interface pages can be bypassed by

setting the cookie value to any valid file on the file system.

在一些管理介面的可以透過設定cookie值為檔案系統上存在的檔案即可繞過登入。(英文渣,對著google翻譯扣下來的英文)

具體缺陷程式碼如下:

Function CheckAsdmSession(cookie,no_redirect)
……..
Local f = io.open(‘asdm/’..cookie, “r”)
If f ~= nil then
f:close()
return true;
end

單單這樣可能比較難理解,我們來結合檢測方式來看一遍。同樣在上個連線中老外給了這樣一個post包(burpsuite)的。

enter image description here

可以看到上圖的POST包中指定了Cookie為ced=../../locale/ru/LC_MESSAGES/webvpn.mo; 如果對方存在這個漏洞且能利用的話是會得到這樣一個返回值:

enter image description here

http狀態碼為302,這樣的話就代表存在且能利用造成影響。 為什麼我要說存在且能利用造成影響,難道還有存在且不能造成影響的? 還別說,真有。一開始我認為這個漏洞,這麼厲害那麼影響肯定廣泛結果自己復現後發現並不是那樣,利用起來有個條件 看下圖:

enter image description here

跟上圖相比cookie值也設定了,post包的內容又是一樣,地址又是一樣。 為什麼這次會返回200呢?秉著刨根問底的精神,我又仔仔細細的測了一遍,重新搭了幾次VPN做一步記錄一下。 最後發現了關鍵所在,就是Cisco ASDM上你必須點過Configuration選項卡的Customization頁面的preview(預覽)按鈕。 如果沒有點過preview(預覽)按鈕的話,即使是存在漏洞的版本也不能利用造成影響。 如下圖:

enter image description here

所以當你去測試存在漏洞的裝置時,卻發現返回的是200請不要胡思亂想,就是這個原因。 另外經過測試發現,點過之後如果裝置沒有關機重啟那麼可以一直利用,如果關機重啟了那就呵呵了只能等下一次點preview(預覽)按鈕了。

但是也不要覺得雞肋,今天我跟我的小夥伴寫了個exp用來檢測(真的只是檢測),測試的都是國外有名的大學,發現10個大學3-4個可以利用。

enter image description here

說了這麼久如何檢測,那麼我們來說正事,我們應該如何復現攻擊呢?

這個連結中,老外給了一個burpsuite的包,我們可以過載包來恢復狀態,恢復後就有4個Repeater,我們只需把host跟target都修改成目標依次發包就可以了!

關於更多的資料在Ruxcon2014上已經有大神寫的PDF

附影片: CVE-2014-3393

受影響版本:

  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.0.45
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.1.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.2
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.10
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.12
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.16
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.2.17
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.3
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.4
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.4.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.4.4
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.13
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.22
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.26
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.33
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.40
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.41
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.46
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.48
  • cpe:/a:cisco:adaptive_security_appliance_software:8.2.5.50
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.4
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.1.6
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.13
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.23
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.25
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.31
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.33
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.34
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.37
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.39
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.4
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.40
  • cpe:/a:cisco:adaptive_security_appliance_software:8.3.2.41
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.1.11
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.1.3
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.2.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.2
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.2.8
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.3
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.3.8
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.3.9
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.4
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.3
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.5
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.4.9
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.5
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.5.6
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.6
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.7
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.3
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.15
  • cpe:/a:cisco:adaptive_security_appliance_software:8.4.7.22
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.1
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.10
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.12
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.13
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.14
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.2
  • cpe:/a:cisco:adaptive_security_appliance_software:8.6.1.5
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.1
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.2
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.2.10
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.3
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.3.6
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.3.8
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.1
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.17
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.20
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.5
  • cpe:/a:cisco:adaptive_security_appliance_software:9.0.4.7
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1..1
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.1.4
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.2
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.2.8
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.3
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.3.2
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.4
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.5
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.5.10
  • cpe:/a:cisco:adaptive_security_appliance_software:9.1.5.15
  • cpe:/a:cisco:adaptive_security_appliance_software:9.3.1

修復方案: 目前思科已在2014年10月8號釋出了補丁,連線: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa

附burpsuite包的下載地址:https://github.com/breenmachine/various

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章