HiveProtect.ai » العربية » blog » تهديدات ASA في سيسكو

تحليل فني: تهديدات بوابة ASA من سيسكو ومتجهات هجوم WebVPN

تهديدات ASA في سيسكو

الملخص التنفيذي

وجود سجلات تذكر مسارات مثل /+CSCOL+/ أو /+CSCOE+/ متبوعة بملفات مثل a1.jar أو transfer.js يشير إلى نشاط يستهدف بشكل خاص بوابات Cisco Adaptive Security Appliance (ASA) وFirepower Threat Defense (FTD).

هذه المؤشرات ليست أخطاء عشوائية بل تشير إلى متجهين مميزين:

  • استغلال ثغرات ويب VPN المعروفة (مثل CVE-2020-3452) التي تسعى لقراءة الملفات الحساسة عبر تصفح الدليل.
  • يحاول تنفيذ الشيفرة أو تسميم الذاكرة المؤقتة حقن حمولات خبيثة (سكريبتات جافاسكت أو تطبيقات جافا) لاختراق جلسات المستخدم البعيدة.

المقال أدناه يوضح آليات هذه الهجمات، وأهميتها التقنية، واستراتيجيات الدفاع المطلوبة.

تشريح هجوم بوابة VPN

معدات أمان المحيط، خاصة أجهزة تركيز VPN مثل ASAs من سيسكو، هي أهداف رئيسية. يتم كشفها علنا من باب الضرورة وتتعامل مع جلسات مصادقة وحيوية. فهم السجلات يتطلب فهم البنية الافتراضية لهذه الصناديق.

فك ترميز المسارات « الافتراضية »

على جهاز Cisco ASA المجهز بقدرات VPN بدون عميل SSL ( WebVPN ) أو AnyConnect، يكشف النظام عن أدلة افتراضية لا توجد فعليا على قرص صلب نموذجي، لكنها ترسم بواسطة البرنامج الثابت:

  • /+CSCOE+/ (Cisco Secure Encrypted): يستخدم هذا المسار لخدمة الموارد الثابتة لبوابة المصادقة (شعارات، سكريبتات تسجيل logon.html، win.js سكريبتات الكشف). هذه هي المنطقة « العامة » قبل المصادقة الكاملة.
  • /+CSCOL+/ (إرث/إطلاق Cisco الآمن): غالبا ما يرتبط بمكونات قديمة أو تطبيقات جافا لتشغيل أنفاق VPN بدون عميل.

عندما ترى هذه البادئات في سجلاتك، لا يخمن المهاجم وجود رابط URL؛ يعلم أنك تستخدم معدات سيسكو ويحاول التفاعل مع آليات البوابة الداخلية.

المتجه 1: النتيجة في جافا (a1.jar) والوراثة بدون عميل

طلب /+CSCOL+/a1.jar هو عرض لهجمات تستهدف تقنيات Java Web Start أو تطبيقات جافا القديمة المستخدمة في الإصدارات القديمة من WebVPN.

الآلية

تاريخيا، لإنشاء نفق VPN دون تثبيت عميل ضخم (AnyConnect)، كانت بوابة WebVPN تقوم بتحميل تطبيق جافا (غالبا ما يشار إليه باسم cs.jar أو ما شابه) إلى متصفح المستخدم.

  • التعرف والتشويش (fuzzing): المهاجم يسعى لتحميل هذا الملف .jar لعكس الهندسة ومعرفة نسخة ASA الثابتة بالضبط.
  • الحمولة الخبيثة (a1.jar): في سيناريو هجومي، a1.jar ليس ملف سيسكو شرعي. غالبا ما يكون هذا هو الاسم الافتراضي ل « dropper » الذي تولده مجموعات استغلال جافا. يحاول المهاجم إجبار متصفح الضحية أو إضافة جافا (إذا زار صفحة مخترقة تم نقلها بواسطة VPN) على تنفيذ هذا الكود.
  • الهدف: نفذ شيفرة عشوائية (RCE) على العميل عبر نفق VPN، أو على الخادم إذا كانت هناك ثغرة في إلغاء التسلسل في جافا على جانب البوابة.

التشخيص: إذا طلب هذا الملف من خادمك، غالبا ما يكون ماسحا آليا يختبر ما إذا كانت بوابتك تسمح بتنزيل أو تنفيذ كود جافا غير الموقع أو المعرض للخطر.

Vector 2: هجمات transfer.js وإلغاء التزامن المدعومة بالمتصفح

وجود /+CSCOE+/transfer.js أكثر دقة وربما أكثر خطورة لأنه يؤثر على الهجمات الحديثة مثل تهريب طلبات HTTP وتسميم الكاش.

السياق: win.js الضعف

أظهر باحثو الأمن (بما في ذلك PortSwigger) أن بوابات Cisco WebVPN يمكن التلاعب بها عبر ملفات جافاسكريبت ثابتة مثل /+CSCOE+/win.js.

سيناريو الهجوم transfer.js

تشير الاستدعاءات إلى ملف يحمل اسم transfer.js تحت هذا الدليل إلى محاولة استغلال منطق إعادة كتابة رابط WebVPN:

  • تسمم التجويف: يرسل المهاجم طلب HTTP مشوه (تهريب طلبات) إلى البوابة.
  • فك التزامن: تقوم البوابة « بخلط » طلب المهاجم مع طلب الضحية التالية.
  • إعادة توجيه خبيثة: عندما يتصل الضحية الحقيقية ب VPN، يطلب متصفحه سكريبت (مثل win.js أو سكريبت مخصص محقن يسمى transfer.js). بسبب عدم التزامن، لا تعيد البوابة السكريبت الشرعي لسيسكو، بل تعيد توجيها إلى خادم يتحكم فيه المهاجم.
  • مدة تشغيل XSS: يشغل متصفح الضحية السكريبت الخبيث في سياق الأمان لنطاق VPN (vpn.votre-entreprise.com). يمكن للمهاجم بعد ذلك سرقة ملفات تعريف الارتباط الخاصة بالجلسة (كوكي webvpn) واختراق الشبكة.

الثغرات ذات الصلة (CVEs)

غالبا ما تكون هذه السجلات آثار أجهزة المسح التي تسعى لاستغلال عيوب محددة:

CVE-2020-3452 (عبور المسار للقراءة فقط)

هذا هو صدع الملكة المرتبط بهذه المسارات. يسمح للمهاجم غير المصادق بقراءة الملفات على نظام ملفات WebVPN باستخدام تسلسلات مثل +CSCOT+ أو +CSCOE+.

  • مثال على الاستعلام: احصل على /+CSCOE+/+/.. /+/.. /+/.. /+CSCOE+/portal_inc.lua
  • خطر: تسرب في الإعدادات، وسرقة ملفات تعريف الارتباط للجلسة من مستخدمين آخرين مسجلين الدخول.

CVE-2018-0296 (وزارة الخدمة والإفصاح عن المعلومات)

يسمح لك بتعطيل ASA أو قائمة المستخدمين المسجلين الدخول عن طريق التلاعب بمسارات /+CSCOE+/.

الأثر الاستراتيجي والتشغيلي

إذا نجحت هذه الهجمات، فإن العواقب تتجاوز مجرد تشويه الموقع الإلكتروني:

  • التسوية على المحيط: ASA هو بوابة الشبكة. تسمح سرقة الجلسة للمهاجم بتجاوز MFA (لأن كوكي الجلسة تم التحقق منه بالفعل) والوصول إلى الموارد الداخلية.
  • سرقة الملكية الفكرية: عبر CVE-2020-3452، يمكن استخراج ملفات التكوين التي تحتوي على معلومات عن البنية الداخلية.
  • هجمات جانب العميل (حانة الماء): من خلال تعديل نظام جافاسكريپت الذي يقدمه ال VPN، يقوم المهاجم بإصابة محطات عمل جميع الموظفين الذين يتصلون بالعمل عن بعد.

دليل الإصلاح والدفاع

للحماية من هذه التهديدات، هناك حاجة إلى نهج متعمق.

1. تقوية تكوين ASA

  • تحديث فوري: طبق أحدث تحديثات سيسكو. تم إصلاح عيوب CVE-2020-3452 و CVE-2018-0296 منذ فترة طويلة.
  • تعطيل VPN بدون عميل: إذا كنت تستخدم فقط عميل AnyConnect السميك، قم بإيقاف بوابة « VPN بدون عميل » تماما والتي تعد السطح الرئيسي للهجوم لهذه المتجهات. الأمر: لا webVPN (أو تعطيله لكل ملف تعريف للمجموعة).

2. التصفية وWAF

  • حجب القطع الأثرية المشبوهة: قم بتكوين جدار الحماية لتطبيقات الويب ( WAF) أو IPS لحظر أي طلب يحتوي على .jar بشكل صارم إذا لم يكن لديك حاجة صريحة لجافا على البوابة.
  • قواعد التعقيم: تسلسلات تصفح الأدلة الكتل (..، ٪2nd٪2e, +/) في الروابط التي تستهدف /+CSCOE+ و /+CSCOL+.

3. المراقبة (صيد التهديدات)

  • تحليل السجلات: ابحث عن رموز HTTP 200 OK المرتبطة بهذه الطلبات الغريبة.
  • 404 لم يتم العثور عليه: علامة جيدة، المهاجم يمسح الكرة في الفراغ.
  • 200 موافق على a1.jar أو transfer.js: تنبيه حرج، تحقق من المحتوى المقدم فورا.
  • الارتباط: تحقق مما إذا كان عنوان IP قام بمسح هذه الملفات ثم بدأ اتصال VPN ناجح (تسجيل الدخول ناجح).

استنتاج

الطلبات إلى /+CSCOL+/a1.jar و /+CSCOE+/transfer.js هي توقيعات لاستطلاع عدائي يسعى لتحويل بوابة الأمان إلى نقطة ضعف. سواء كانت أجهزة مسح آلية (« أطفال السكربت ») أو مقدمة لهجوم تهريب طلبات متقدم، فهي تتطلب يقظة دائمة وسياسة صارمة لتحديث معدات المحيط.