Наши коллеги из Positive Technologies обнаружили опасные для удаленной работы уязвимости в Cisco ASA.
Уязвимости, которые Cisco устранила в соответствующем обновлении, позволяли потенциальному злоумышленнику парализовать работу удаленных сотрудников или получить доступ во внутреннюю сеть.
Cisco Adaptive Security Appliance — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems. Их возможности включают в себя межсетевое экранирование с учетом состояния соединений, глубокий анализ протоколов прикладного уровня, трансляцию сетевых адресов, IPsec VPN, SSL VPN (подключение к сети через веб-интерфейс или протоколы динамической маршрутизации — RIP, EIGRP, OSPF).
Почему это серьезная угроза
- Первая уязвимость (CVE-2020-3187) имеет критический уровень опасности (9,1). Ее эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка дает злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
- Вторая уязвимость (CVE-2020-3259) получила оценку 7,5. Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации.
Positive Technologies рекомендует
1. Для устранения уязвимости необходимо обновить Cisco ASA до последней версии.
2. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. Например, PT Application Firewall обнаруживает и блокирует эксплуатацию CVE-2020-3187 «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С помощью последнего обновления PT Application Firewall также выявляет и блокирует атаки через уязвимость CVE-2020-3259.
3. Для своевременного выявления подобных уязвимостей в инфраструктуре рекомендуется использовать автоматизированные сканеры уязвимостей, в частности MaxPatrol 8.
Для проверки сети на уязвимость с помощью решений РТ вы можете обратиться к нам. Напишите на почту sales@tssolution.ru.
#информационная безопасность #удаленная работа #сетевые технологии #it #системное администрирование