2022黑帽大会blackhat多个Cisco Exploit

https://i.blackhat.com/USA-22/Thursday/US-22-Baines-Do-Not-Trust-The-ASA-Trojans.pdf   ‍官方完整PDF‍

CVE-2022-20829 修改路由2进制文件 攻击管理员 前提有办法geshell，或事先插入后门 出售 供应链攻击

https://github.com/jbaines-r7/theway

CVE-2021-1585 直接针对客户端 中间人攻击  MSF模块支持

影响 9.16.1 及更早版本的 ADSM  客户端 版本

https://github.com/jbaines-r7/staystaystay

https://github.com/jbaines-r7/cisco_asa_research/tree/main/modules/cve_2021_1585

- 2021 年 7 月公开，无补丁
- 2022 年 6 月补丁失败
- 截至 2022 年 7 月仍未打补丁
公开利用

RCE module for CVE-2022-20828

https://github.com/jbaines-r7/whatsup

https://github.com/jbaines-r7/cisco_asa_research/blob/main/yara/

Rapid7 公司的研究员指出，思科企业级防火墙中至少存在十几个漏洞，其中四个已获得CVE编号。这些漏洞可导致攻击者渗透由设备保护的网络。

这些漏洞影响思科Adaptive Security Appliance (ASA) 软件（思科企业级防火墙的操作系统）及其生态系统。其中最严重的漏洞是CVE-2022-20829，是因为Adaptive Security Device Manager (ASDM) 二进制包未进行数字化签名导致的，组合该漏洞和对服务器SSL证书的验证失败漏洞可使攻击者部署自定义ASA二进制，将文件安装到管理员计算机上。

Rapid 7 公司的首席安全研究员 Jake Baines 指出，由于管理员希望在设备上预装ASDM 软件，因此未签名的二进制使攻击者可发动严重的供应链攻击，“如果有人购买了ASA设备，攻击者在上面安装了自己的代码，则攻击者无法在ASA设备上获得 shell，但如果管理员连接到设备，则攻击者会在管理员计算机上获得 shell。对我而言，这是最危险的攻击。”

这些漏洞可能影响运行ASA软件的设备和虚拟实例，有一些漏洞位于 Firepower 下一代防火墙模块。思科的客户遍布全球，部署的ASA设备超过100万台。Shodan 搜索显示，仅有20%左右设备的管理接口暴露到互联网。

Ladon最新版WhatCMS模块 可识别本文Cisco系列产品

Ladon 10.6.1 2023.1.31[u]web      无回显漏洞 提交包含ISVUL或POCTEST字符串，自动保存IP到isvul.txt[u]PortScan   新增2086 2087 2031端口[u]PrinterPoc[u]WhatCMSpfSense pfBlockerNGPulse SecureMobileIronCWP Control WebPanelWHM cPanelCisco ADSM系列Cisco ASDM 7.16Cisco ASDM 7.8Cisco ASDM 7.12Cisco FirepowerCisco UCS ManagerCisco FirepowerMSNswitch (401)Unauthorized
Ladon 10.6 2023.1.18[u]CiscoPwd      路由器CiscoDump更名为CiscoPwd   [+]NetGearPwd  路由器DGND3700v2登陆密码读取[+]MSNSwitchPwd  路由器MSNSwitch登陆密码读取 CVE-2022-32429[u]WhatCMS     智能识别未知网络设备(路由器、打印机、摄像头等)[u]RunAs    以另一用户身份执行命令 模拟用户登陆执行命令

原文始发于微信公众号（K8实验室）：2022黑帽大会blackhat多个Cisco Exploit