Cisco ASA Software遠端認證繞過漏洞

0x01 漏洞簡介

Cisco ASA Software的部分管理介面在身份認證時存在驗證邏輯問題，導致攻擊者可以繞過身份認證，實現未授權操作。

0x02 漏洞原理

預設情況下，ASA的管理介面透過basic auth+cookie的方式進行認證，如下圖：

漏洞存在於Configuration選項卡的Customization頁面的preview功能。此頁面用於修改webvpn的使用者登入頁面。但Preview的管理請求處理邏輯缺乏Basic Auth認證，僅僅透過驗證cookie的有效性來進行判定。但Cookie驗證邏輯上存在問題， Lua程式碼如下：

Function CheckAsdmSession(cookie,no_redirect)

省略部分程式碼..
Local f = io.open(‘asdm/’..cookie, “r”)
If f ~= nil then
    f:close()
    return true;
end

可以看出，在CheckAsdmSession 函式中，僅僅校驗該函式cookie傳入的檔案存在與否。透過修改Cookie中ced的值，設定為裝置上存在的檔案，如 Ced=../../locale/ru/LC_MESSAGES/webvpn.mo，即可達到繞過驗證的效果。

我們可以透過對/+CSCOE+/cedf.html頁面的請求檢視preview頁面的修改結果。

現有系統對於preview頁面的生效需要進行basic auth校驗的，但韌體版本保留了老的生效介面/+CSCOE+/cedsave.html（老介面不需要進行basic auth認證），透過呼叫此介面，即可完成對login page的html程式碼的修改。如下：

透過修改登入頁的程式碼，攻擊者截獲用於登入VPN的賬號密碼，也可以進行諸如劫持、掛馬等操作。

0x03 漏洞修復

目前cisco已經針對韌體提供了修復方案，受影響的ASA版本可以透過官方通告進行檢視。VPN類裝置多屬於企業的入口，提醒各公司運維人員以最高優先順序修復。 官方連結： http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa