HiveProtect.ai » Italiano » blog » Minacce Cisco ASA

Analisi tecnica: minacce del gateway Cisco ASA e vettori di attacco WebVPN

Minacce Cisco ASA

Sintesi

La presenza di log che menzionano percorsi come /+CSCOL+/ o /+CSCOE+/ seguiti da file come a1.jar o transfer.js indica attività che prende di mira specificamente i gateway Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD).

Questi indicatori non sono errori casuali ma indicano due vettori distinti:

  • Sfruttamento di vulnerabilità WebVPN note (come CVE-2020-3452) che cercano di leggere file sensibili tramite attraversamenti di directory.
  • L’esecuzione del codice o l’avvelenamento della cache tenta di iniettare payload dannosi (script JS o applet Java) per compromettere sessioni utente remote.

L’articolo qui sotto dettaglia le meccaniche di questi attacchi, la loro importanza tecnica e le strategie di difesa necessarie.

L’anatomia di un attacco a un gateway VPN

Le apparecchiature di sicurezza perimetrale, specialmente i concentratori VPN come gli Cisco ASA, sono obiettivi principali. Vengono esposti pubblicamente per necessità e gestiscono sessioni autentiche critiche. Comprendere i log richiede di comprendere l’architettura virtuale di queste casse.

Decodifica dei percorsi « virtuali »

Su un dispositivo Cisco ASA configurato con funzionalità Client less SSL VPN ( WebVPN ) o AnyConnect, il sistema espone directory virtuali che non esistono fisicamente su un disco rigido tipico, ma sono mappate dal firmware:

  • /+CSCOE+/ (Cisco Secure Encrypted): Questo percorso viene utilizzato per servire le risorse statiche del portale di autenticazione (loghi, script di login logon.html win.js script di rilevamento). Questa è l’area « pubblica » prima dell’autenticazione completa.
  • /+CSCOL+/ (Cisco Secure Legacy/Launch): Spesso associato a componenti legacy o a avvii di applet Java per tunnel VPN senza client.

Quando vedi questi prefissi nei tuoi log, l’attaccante non indovina un URL; sa che stai usando apparecchiature Cisco e tenta di interagire con i meccanismi interni del portale.

Vettore 1: artefatto Java (a1.jar) e ereditarietà senza client

La richiesta /+CSCOL+/a1.jar è sintomatica di attacchi che prendono di mira le tecnologie Java Web Start o applet Java obsoleti usati dalle versioni più vecchie di WebVPN.

Il meccanismo

Storicamente, per stabilire un tunnel VPN senza installare un client spesso (AnyConnect), il portale WebVPN caricava un applet Java (spesso chiamato cs.jar o simile) nel browser dell’utente.

  • Riconoscimento e Fuzzing: L’attaccante cerca di scaricare questo file .jar per fare reverse engineering e capire la versione esatta del firmware ASA.
  • Carico Malevolo (a1.jar): In uno scenario offensivo, a1.jar non è un file Cisco legittimo. Questo è spesso il nome predefinito di un « dropper » generato dai kit di exploit Java. L’attaccante tenta di costringere il browser o il plugin Java della vittima (se visita una pagina compromessa relanciata dalla VPN) a eseguire questo codice.
  • L’obiettivo: Esegui codice arbitrario (RCE) sul client tramite il tunnel VPN, o sul server se è presente una vulnerabilità di deserializzazione Java sul lato gateway.

Diagnosi: Se questo file viene richiesto al tuo server, spesso si tratta di uno scanner automatico che verifica se il tuo gateway consente il download o l’esecuzione di codice Java non firmato o vulnerabile.

Vettore 2: attacchi di desincronizzazione transfer.js e basati su browser

La presenza di /+CSCOE+/transfer.js è più sottile e potenzialmente più pericolosa perché influisce su attacchi moderni come il contrabbando di richieste HTTP e l’avvelenamento della cache.

Il contesto: vulnerabilità win.js

I ricercatori di sicurezza (incluso PortSwigger) hanno dimostrato che i portali Cisco WebVPN possono essere manipolati tramite file JavaScript statici come /+CSCOE+/win.js.

Lo scenario dell’attacco transfer.js

La chiamata a un file chiamato transfer.js sotto questa directory suggerisce un tentativo di sfruttare la logica di riscrittura degli URL di WebVPN:

  • Avvelenamento da alveolo: L’attaccante invia una richiesta HTTP malformata (Request Smuggling) al gateway.
  • Desincronizzazione: Il gateway « mescola » la richiesta dell’aggressore con quella della vittima successiva.
  • Reindirizzamento malevolo: Quando la vittima legittima si connette alla VPN, il browser chiede uno script (ad esempio win.js o uno script personalizzato iniettato chiamato transfer.js). A causa della desincronizzazione, il gateway non restituisce lo script Cisco legittimo, ma un redirect verso un server controllato dall’attaccante.
  • Durata XSS: Il browser della vittima esegue lo script malevolo nel contesto di sicurezza del dominio VPN (vpn.votre-entreprise.com). L’attaccante può quindi rubare i cookie di sessione (cookie webvpn) e penetrare nella rete.

Vulnerabilità correlate (CVE)

Questi log sono spesso le tracce di scanner che cercano di sfruttare difetti specifici:

CVE-2020-3452 (percorrenza del percorso in sola lettura)

Questa è la faglia regina associata a questi percorsi. Permette a un attaccante non autenticato di leggere file nel file system WebVPN usando sequenze come +CSCOT+ o +CSCOE+.

  • Esempio di query: GET /+CSCOE+/+/.. /+/.. /+/.. /+CSCOE+/portal_inc.lua
  • Rischio: Fuga di configurazioni, furto di cookie di sessione da altri utenti loginati.

CVE-2018-0296 (DoS e divulgazione di informazioni)

Permette di far crashare l’ASA o elencare gli utenti logjati manipolando i percorsi /+CSCOE+/.

Impatto strategico e operativo

Se questi attacchi hanno successo, le conseguenze vanno oltre la semplice deturpazione del sito web:

  • Compromesso del perimetro: L’ASA è il gateway della rete. Un session steal permette all’attaccante di bypassare l’MFA (poiché il cookie di sessione è già validato) e di accedere alle risorse interne.
  • Furto di proprietà intellettuale: Tramite CVE-2020-3452, i file di configurazione contenenti informazioni sull’architettura interna possono essere esfiltrati.
  • Attacchi lato cliente (Watering Hole): Modificando il JS servito dalla VPN, l’attaccante infetta le postazioni di lavoro di tutti i dipendenti che si collegano al telelavoro.

Guida alla bonifica e alla difesa

Per proteggersi da queste minacce, è necessario un approccio approfondito.

1. Indurimento della configurazione ASA

  • Aggiornamento immediato: Applica le ultime patch Cisco. I difetti CVE-2020-3452 e CVE-2018-0296 sono stati corretti da molto tempo.
  • Disabilitazione della VPN senza cliente: Se usi solo il client thick AnyConnect, disabilita completamente il portale « Client less SSL VPN » che è la principale superficie di attacco di questi vettori. Comando: niente webvpn (o disattivalo per ogni profilo di gruppo).

2. Filtraggio e WAF

  • Bloccare artefatti sospetti: Configura il tuo Web Application Firewall ( WAF ) o IPS per bloccare rigorosamente qualsiasi richiesta contenente .jar se non hai una necessità esplicita di business Java sul portale.
  • Regole di sanificazione: Sequenze di attraversamento delle directory a blocchi (.., %2nd%2e, +/) negli URL che mirano a /+CSCOE+ e /+CSCOL+.

3. Sorveglianza (caccia alle minacce)

  • Analisi del log: Cerca i codici HTTP 200 OK associati a queste strane richieste.
  • 404 Non trovato : Un buon segno, lo striker scansiona nel vuoto.
  • 200 OK su a1.jar o transfer.js: Allarme critico, indaga immediatamente il contenuto servito.
  • Correlazione: Controlla se un IP che ha scansionato questi file ha poi avviato una connessione VPN riuscita (login riuscito).

Conclusione

Le richieste a /+CSCOL+/a1.jar e /+CSCOE+/transfer.js sono le firme di una ricognizione ostile che cerca di trasformare il vostro gateway di sicurezza in un punto di vulnerabilità. Che si tratti di scanner automatici (« script kiddies ») o precursori di un sofisticato attacco di contrabbando su richiesta, richiedono costante vigilanza e una rigorosa politica di aggiornamento delle apparecchiature perimetrali.