Уязвимости в Cisco ASA. Значение zero-day и прочих уязвимостей для ИБ: взгляд Positive Technologies
Уважаемые партнёры!
Специалисты Positive Technologies обнаружили опасные, для удалённой работы, уязвимости в Cisco ASA.
Уязвимости, которые Cisco устранила в соответствующем обновлении, позволяли потенциальному злоумышленнику парализовать работу удалённых сотрудников или получить доступ во внутреннюю сеть.
Cisco Adaptive Security Appliance — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems. Их возможности включают в себя межсетевое экранирование с учетом состояния соединений, глубокий анализ протоколов прикладного уровня, трансляцию сетевых адресов, IPsec VPN, SSL VPN (подключение к сети через веб-интерфейс или протоколы динамической маршрутизации — RIP, EIGRP, OSPF).
Почему это серьёзная угроза
- Первая уязвимость (CVE-2020-3187) имеет критический уровень опасности (9,1). Её эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка даёт злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
- Вторая уязвимость (CVE-2020-3259) получила оценку 7,5. Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удалеёно и не требует авторизации.
Что делать
- Для устранения уязвимости необходимо обновить Cisco ASA до последней версии.
- Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. Например, PT Application Firewall обнаруживает и блокирует эксплуатацию CVE-2020-3187 «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С помощью последнего обновления PT Application Firewall также выявляет и блокирует атаки через уязвимость CVE-2020-3259.
- Для своевременного выявления подобных уязвимостей в инфраструктуре рекомендуется использовать автоматизированные сканеры уязвимостей, в частности MaxPatrol 8.
Кроме того, экспертный центр Positive Technologies (PT ESC) готов оказать всестороннюю помощь в предупреждении и выявлении фактов атак на вашу компанию с использованием данной уязвимости:
- Произвести поиск уязвимых систем на периметре.
- Мониторить уровень безопасности всей инфраструктуры с помощью установленных систем информационной безопасности (MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall) с целью выявления фактов компрометации.
- Произвести поиск следов компрометации в ИТ-инфраструктуре.
Сервис доступен через согласование с вашим менеджером в Positive Technologies.
Где узнать больше
В эту пятницу, 15 мая, приглашаем вас присоединиться к эфиру онлайн-проекта «ИБшник на удаленке», в ходе которого эксперты Positive Technologies представят не только подробности кейса с Cisco, но и расскажут более подробно о рисках, связанных с уязвимостями нулевого дня.
Программа эфира
- 18:00 ― анонс эфира, ведущий ― Владимир Заполянский, директор по маркетингу Positive Technologies.
- 18:05―18:25 ― подробности выявления уязвимости в Cisco ASA из первых рук: беседа с Михаилом Ключниковым, экспертом Positive Technologies, обнаружившим уязвимости в межсетевом экране Cisco ASA.
- 18:25―18:45 ― поиск уязвимостей нулевого дня, ответственное разглашение, коммуникация с вендорами ― о том, зачем все это нужно, поговорят эксперты Positive Technologies ― Дмитрий Серебрянников, директор по анализу защищенности, и Дмитрий Скляров, глава отдела анализа приложений.
- 18:45―19:05 ― какова роль выявления уязвимостей в повышении защищенности бизнеса, в чем ключевая проблема VM, и часто ли злоумышленники используют уязвимости нулевого дня в своих атаках ― эти вопросы обсудит Алексей Новиков, директор экспертного центра безопасности Positive Technologies.
Приглашаем вас стать партнёрами онлайн-проекта «ИБшник на удаленке»