Cisco ASA/Cisco FTD目录遍历漏洞（CVE-2020-3452）预警

一、基本情况

近日，监测发现Cisco官方发布了Cisco Cisco Adaptive Security Appliance (ASA)软件和Cisco Firepower Threat Defense (FTD)软件的Web接口存在目录遍历漏洞的风险通告，该漏洞编号为 CVE-2020-3452，CVSS评分7.5分，漏洞等级为中危。未经身份验证的远程攻击者利用该漏洞进行目录遍历攻击并读取目标系统上的敏感文件。

建议广大用户尽快升级到指定版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞详情

Cisco Adaptive Security Appliance (ASA)是为Cisco ASA系列提供支持的核心操作系统，它以多种形式为ASA设备提供企业级防火墙功能。Cisco Firepower Threat Defense (FTD)是 Cisco 的防火墙产品。

该漏洞是由于受影响设备在处理HTTP请求中的URL时未能正确校验。未经身份验证的攻击者通过包含目录遍历字符序列的特制HTTP请求发送至受影响设备利用该漏洞在目标设备上查看Web服务文件系统内的任意文件。

三、影响产品

受影响版本

• Cisco ASA：<= 9.6，

• Cisco ASA：9.7 , 9.8 , 9.9 , 9.10 , 9.12 , 9.13 , 9.14

• Cisco FTD：6.2.2 , 6.2.3 , 6.3.0 , 6.4.0 , 6.5.0 , 6.6.0

四、安全建议

目前，Cisco官方已更新安全补丁，建议用户尽快升级到指定版本

Cisco ASA：

• 9.6 版本以前升级到最新版本

• 9.6 版本升级到 9.6.4.42 版本

• 9.7 版本升级到最新版本

• 9.8 版本升级到 9.8.4.20 版本

• 9.9 版本升级到 9.9.2.74 版本

• 9.10 版本升级到 9.10.1.42 版本

• 9.12 版本升级到 9.12.3.12 版本

• 9.13 版本升级到 9.13.1.10 版本

• 9.14 版本升级到 9.14.1.10 版本

Cisco FTD：

• 6.2.2 版本升级到最新版本

• 6.2.3 版本升级到 6.2.3.16 版本

• 6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本

• 6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本

• 6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本

• 6.6.0 版本升级到 6.6.0.1 版本

五、参考链接

（1）https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

（2）https://twitter.com/aboul3la/status/1286012324722155525