一 漏洞概述

2020年7月22日，Cisco发布安全公告，修复了一个Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）软件的目录遍历漏洞（CVE-2020-3452）。

Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台主要用于对数据和网络资源的高度安全的访问。

Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。

该漏洞源于ASA和FTD的 web 服务接口在处理HTTP请求的URL时缺乏正确的输入验证，导致攻击者可以在目标设备上查看系统内的任意文件。

注意：当设备配置了WebVPN或AnyConnect功能，将启用Web服务时，才会受到该漏洞影响，但是该漏洞不能用于访问ASA或FTD系统文件或底层操作系统(OS)文件。

二 影响版本

Cisco ASA：<= 9.6，9.7 , 9.8 , 9.9 , 9.10 , 9.12 , 9.13 , 9.14

Cisco FTD：6.2.2 , 6.2.3 , 6.3.0 , 6.4.0 , 6.5.0 , 6.6.0

ASA和FTD设备易受攻击的配置如下:

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Cisco” 进行搜索，共得到 10,591,940 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

1.建议受影响的用户更新至最新版本。

目前厂商已发布新版本，详见下表，左列是受该漏洞影响的软件版本，右列是厂商发布的更新版本：

（1）Cisco ASA：

注意：Cisco ASA软件9.5版及更早版本以及9.7版已经停止维护。

（2）Cisco FTD：

上图中关于Cisco FTD Hot Fix 细节，详见下图：

2.升级Cisco FTD版本，用户可以选择以下其中一个方法执行：

（1）对于Cisco Firepower Management Center（FMC），使用FMC界面安装升级。安装完成后，重新应用访问控制策略；

（2）对于Cisco Firepower Device Manager（FDM），使用FDM界面安装升级。安装完成后，重新应用访问控制策略。

六 时间线

Cisco官方发布安全公告时间：2020年7月22日

知道创宇发布漏洞情报时间：2020年7月23日

七 相关链接

Cisco：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Cisco%22