# CVE-2020-3259 - Cisco ASA/FTD: Leitura de Memória Heap via Web Services > [!medium] CVE-2020-3259 permite que atacantes não autenticados leiam conteúdo da memória heap do Cisco ASA e FTD, expondo credenciais, tokens de sessão e configurações sensíveis — explorada por grupos de ransomware para roubo de credenciais VPN corporativas. ## Visão Geral CVE-2020-3259 é uma vulnerabilidade de **divulgação de informações** no componente de web services do **Cisco Adaptive Security Appliance (ASA)** e do **Cisco Firepower Threat Defense (FTD)**. A falha permite que um atacante não autenticado envie requisições HTTP especialmente elaboradas para ler conteúdo arbitrário da memória heap do dispositivo. O impacto prático é mais grave que o CVSS sugere: a memória heap do ASA/FTD frequentemente contém credenciais VPN em texto claro, tokens de sessão ativos, informações de configuração e dados de autenticação de usuários. Grupos de ransomware, incluindo o **ALPHV/BlackCat** e afiliados do **Storm-1567**, exploraram esta vulnerabilidade para coletar credenciais VPN Cisco e utilizá-las para acesso inicial às redes corporativas alvo. O Cisco ASA é um dos firewalls e concentradores VPN mais utilizados no mercado corporativo brasileiro, com presença massiva em empresas de médio e grande porte. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Heap memory disclosure | | Componente | Web Services do ASA/FTD | | Autenticação | Não requerida | | Dado exposto | Credenciais VPN, tokens de sessão | | CVE relacionada | CVE-2020-3239 (mesma versão patch) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do ASA exposto - [[t1552-credentials-in-files|T1552]] - Roubo de credenciais via memória - [[t1133-external-remote-services|T1133]] - Uso das credenciais VPN roubadas - [[m1051-update-software|M1051]] - Aplicar patches Cisco imediatamente ## Contexto LATAM > [!latam] Cisco ASA é o firewall corporativo mais comum em empresas brasileiras de médio e grande porte. Pesquisadores identificaram em 2024 que credenciais coletadas via CVE-2020-3259 ainda estavam sendo usadas em ataques, sugerindo que organizações brasileiras com ASA não atualizado permanecem expostas anos após a divulgação. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar ASA para 9.12.4.7+ e FTD para 6.6.0+ - Rotacionar imediatamente todas as credenciais VPN após a aplicação do patch - Habilitar logging de acessos VPN e monitorar logins de localidades incomuns - Restringir acesso à interface de administração web a redes de gerenciamento ## Referências - [Cisco Security Advisory cisco-sa-asa-ftd-webvpn-HeqVMGH](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-webvpn-HeqVMGH) - [Truesec — ASA Credentials Harvesting via CVE-2020-3259](https://www.truesec.com/hub/blog/alphv-blackcat-ransomware-compromised-organizations-using-recently-disclosed-cisco-asa-vulnerability) - [NVD CVE-2020-3259](https://nvd.nist.gov/vuln/detail/CVE-2020-3259)