HiveProtect.ai » Português » blog » Ameaças Cisco ASA

Análise Técnica: Ameaças de Gateway Cisco ASA e Vetores de Ataque WebVPN

Ameaças Cisco ASA

Resumo

A presença de logs mencionando caminhos como /+CSCOL+/ ou /+CSCOE+/ seguidos por arquivos como a1.jar ou transfer.js indica atividade direcionada especificamente aos gateways Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD).

Esses indicadores não são erros aleatórios, mas apontam para dois vetores distintos:

  • Exploração de vulnerabilidades conhecidas do WebVPN (como CVE-2020-3452) que buscam ler arquivos sensíveis por meio de atravessamentos de diretórios.
  • Execução de código ou envenenamento de cache tenta injetar cargas maliciosas (scripts JS ou applets Java) para comprometer sessões remotas de usuário.

O artigo abaixo detalha a mecânica desses ataques, sua importância técnica e as estratégias de defesa necessárias.

A Anatomia de um Ataque de Gateway VPN

Equipamentos de segurança perimetral, especialmente concentradores de VPN como Cisco ASAs, são alvos principais. Eles são expostos publicamente por necessidade e conduzem sessões autenticadas críticas. Entender logs exige entender a arquitetura virtual dessas caixas.

Decodificação de caminhos « virtuais »

Em um dispositivo Cisco ASA configurado com capacidades Client Less SSL VPN ( WebVPN ) ou AnyConnect, o sistema expõe diretórios virtuais que não existem fisicamente em um disco rígido típico, mas que são mapeados pelo firmware:

  • /+CSCOE+/ (Cisco Secure Encrypted): Este caminho é usado para atender aos recursos estáticos do portal de autenticação (logos, scripts de login logon.html win.js scripts de detecção). Esta é a área « pública » antes da autenticação completa.
  • /+CSCOL+/ (Cisco Secure Legacy/Launch): Frequentemente associado a componentes legados ou a lançamentos de applet Java para túneis VPN sem cliente.

Quando você vê esses prefixos nos seus logs, o atacante não adivinha uma URL; ele sabe que você está usando equipamentos Cisco e tenta interagir com os mecanismos internos do portal.

Vetor 1: artefato Java (a1.jar) e herança sem cliente

A solicitação /+CSCOL+/a1.jar é sintomática de ataques direcionados a tecnologias Java Web Start ou applets Java desatualizados usados por versões mais antigas do WebVPN.

O mecanismo

Historicamente, para estabelecer um túnel VPN sem instalar um cliente pesado (AnyConnect), o portal WebVPN carregava um applet Java (frequentemente chamado de cs.jar ou similar) no navegador do usuário.

  • Reconhecimento e Fuzzing: O atacante busca baixar esse arquivo .jar para fazer engenharia reversa e descobrir a versão exata do firmware ASA.
  • Carga Maligna (a1.jar): Em um cenário ofensivo, a1.jar não é um arquivo legítimo da Cisco. Esse é frequentemente o nome padrão de um « dropper » gerado por kits de exploit Java. O atacante tenta forçar o navegador da vítima ou o plugin Java (se eles visitarem uma página comprometida retransmitida pela VPN) a executar esse código.
  • O objetivo: Execute código arbitrário (RCE) no cliente através do túnel VPN, ou no servidor se houver uma vulnerabilidade de desserialização Java no lado do gateway.

Diagnóstico: Se esse arquivo for solicitado do seu servidor, geralmente é um scanner automatizado que testa se seu gateway permite o download ou execução de código Java não assinado ou vulnerável.

Vector 2: transfer.js e ataques de desincronização alimentados pelo navegador

A presença de /+CSCOE+/transfer.js é mais sutil e potencialmente mais perigosa porque afeta ataques modernos como contrabando de requisições HTTP e envenenamento por cache.

O contexto: vulnerabilidade win.js

Pesquisadores de segurança (incluindo o PortSwigger) mostraram que portais Cisco WebVPN podem ser manipulados por meio de arquivos JavaScript estáticos como /+CSCOE+/win.js.

O cenário de ataque transfer.js

A chamada para um arquivo chamado transfer.js sob este diretório sugere uma tentativa de explorar a lógica de reescrita de URLs do WebVPN:

  • Envenenamento por alvéolo: O atacante envia uma solicitação HTTP mal formada (Request Smuggling) para o gateway.
  • Dessincronização: O gateway « mistura » o pedido do atacante com o da próxima vítima.
  • Redirecionamento malicioso: Quando a vítima legítima se conecta à VPN, o navegador dela pede um script (por exemplo, win.js ou um script personalizado injetado chamado transfer.js). Por causa da dessincronização, o gateway não retorna o script legítimo da Cisco, mas sim um redirecionamento para um servidor controlado pelo atacante.
  • Tempo de execução XSS: O navegador da vítima executa o script malicioso no contexto de segurança do domínio VPN (vpn.votre-entreprise.com). O atacante pode então roubar os cookies de sessão (webvpn cookie) e penetrar na rede.

Vulnerabilidades Relacionadas (CVEs)

Esses logs são frequentemente os vestígios de scanners que buscam explorar falhas específicas:

CVE-2020-3452 (percurso de caminho somente leitura)

Esta é a falha rainha associada a esses caminhos. Ele permite que um atacante não autenticado leia arquivos no sistema de arquivos WebVPN usando sequências como +CSCOT+ ou +CSCOE+.

  • Exemplo de consulta: GET /+CSCOE+/+/.. /+/.. /+/.. /+CSCOE+/portal_inc.lua
  • Risco: Vazamento de configuração, roubo de cookies de sessão de outros usuários logados.

CVE-2018-0296 (DoS e divulgação de informações)

Permite que você trave o ASA ou liste usuários logados manipulando os caminhos /+CSCOE+/.

Impacto estratégico e operacional

Se esses ataques forem bem-sucedidos, as consequências vão além da simples vandalização do site:

  • Compromisso do Perímetro: O ASA é o gateway para a rede. Um roubo de sessão permite que o atacante contorne a MFA (já que o cookie de sessão já está validado) e obtenha acesso a recursos internos.
  • Roubo de Propriedade Intelectual: Via CVE-2020-3452, arquivos de configuração contendo informações sobre a arquitetura interna podem ser exfiltrados.
  • Ataques do lado do cliente (pontos de água): Ao modificar o JS servido pela VPN, o atacante infecta as estações de trabalho de todos os funcionários que se conectam ao teletrabalho.

Guia de Remediação e Defesa

Para se proteger contra essas ameaças, é necessária uma abordagem aprofundada.

1. Endurecimento da configuração ASA

  • Atualização Imediata: Aplique os patches Cisco mais recentes. As falhas CVE-2020-3452 e CVE-2018-0296 foram corrigidas há muito tempo.
  • Desabilitando VPN Sem Cliente: Se você estiver usando apenas o cliente grosso AnyConnect, desative completamente o portal « Client less SSL VPN », que é a principal superfície de ataque desses vetores. Comando: sem webvpn (ou desative por perfil de grupo).

2. Filtragem e WAF

  • Bloqueando Artefatos Suspeitos: Configure seu Firewall de Aplicações Web ( WAF) ou IPS para bloquear estritamente qualquer requisição contendo .jar caso você não tenha uma necessidade explícita de negócios Java no portal.
  • Regras de Sanitização: Sequências de atravessamento de diretórios de blocos (.., %2nd%2e, +/) em URLs direcionadas a /+CSCOE+ e /+CSCOL+.

3. Vigilância (caça a ameaças)

  • Análise de Log: Procure os códigos HTTP 200 OK associados a essas solicitações estranhas.
  • 404 Não Encontrado: Um bom sinal, o striker escaneia o vazio.
  • 200 OK em a1.jar ou transfer.js: Alerta crítico, investigue o conteúdo servido imediatamente.
  • Correlação: Verifique se um IP que escaneou esses arquivos iniciou uma conexão VPN bem-sucedida (login bem-sucedido).

Conclusão

Solicitações para /+CSCOL+/a1.jar e /+CSCOE+/transfer.js são assinaturas de um reconhecimento hostil que busca transformar seu gateway de segurança em um ponto de vulnerabilidade. Sejam scanners automáticos (« script kiddies ») ou precursores de um sofisticado ataque de contrabando de pedidos, eles exigem vigilância constante e uma política rigorosa de atualização de equipamentos perimetrais.