Cisco ASAの脆弱性は、Twitterで公開されたPoC Exploit後もハッカーが積極的にスキャンを行って悪用しているようです。
このCisco ASAの脆弱性は、クロスサイトスクリプティング(XSS)の脆弱性で、CVE-2020-3580としてトラックされています。
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-asaftd-xss-multiple-FCB3vPZe.html
Ciscoは、2020年10月にこの脆弱性を初めて公開し、修正プログラムをリリースしました。しかし、CVE-2020-3580に対する最初のパッチは不完全であり、2021年4月にさらなる修正プログラムが公開されています。
この脆弱性により、認証されていない攻撃者が、標的型のフィッシングメールや悪意のあるリンクをCisco ASAデバイスのユーザーに送信し、ユーザーのブラウザでJavaScriptコマンドを実行することができます。
Cisco社によると、「この脆弱性をうまく利用すると、攻撃者はインターフェイスのコンテキストで任意のスクリプトコードを実行したり、ブラウザベースの機密情報にアクセスしたりすることができます」とのことです。
最近公開されたPoCエクスプロイトをハッカーが悪用
脆弱性が修正され、デバイスがアップグレードされるのに十分な時間経過した後に、通常概念実証(PoC)エクスプロイトを公開し、組織が関連する攻撃をどのように検知し、防ぐかを共有します。
先日、Positive Technologies Offensive Teamの研究者は、Cisco ASAの脆弱性CVE-2020-3580に対するPoCエクスプロイトをTwitterで公開しました。
公開されたエクスプロイトは、ユーザーが特別に細工された悪意のあるウェブページにアクセスすると、ユーザーのブラウザにJavaScriptの警告を表示しますが、実際の悪意のあるウェブページでは、他のJavaScriptコマンドを実行し悪意のある活動を行う可能性があります。
PoCが公開された直後Tenable社は、攻撃者がこの脆弱性を積極的に利用していることを報告しましたが、どのような悪意のある活動が行われているかについては明らかにしていませんでした。
Tenable社は、「攻撃者が実世界でCVE-2020-3580を悪用しているとの報告も受けています」と述べています。
現在、攻撃者がこの脆弱性を積極的に悪用しているため、管理者は直ちに脆弱なCisco ASA機器にパッチを適用し、攻撃者に悪用されないようにすることが重要です。
Comments