Уязвимости в Cisco ASA. Значение zero-day и прочих уязвимостей для ИБ: взгляд Positive Technologies

14.05.2020 Распечатать новость

Уважаемые партнёры!

Специалисты Positive Technologies обнаружили опасные, для удалённой работы, уязвимости в Cisco ASA.

Уязвимости, которые Cisco устранила в соответствующем обновлении, позволяли потенциальному злоумышленнику парализовать работу удалённых сотрудников или получить доступ во внутреннюю сеть.

Cisco Adaptive Security Appliance — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems. Их возможности включают в себя межсетевое экранирование с учетом состояния соединений, глубокий анализ протоколов прикладного уровня, трансляцию сетевых адресов, IPsec VPN, SSL VPN (подключение к сети через веб-интерфейс или протоколы динамической маршрутизации — RIP, EIGRP, OSPF).

Почему это серьёзная угроза

  • Первая уязвимость (CVE-2020-3187) имеет критический уровень опасности (9,1). Её эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка даёт злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
  • Вторая уязвимость (CVE-2020-3259) получила оценку 7,5. Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удалеёно и не требует авторизации.

Что делать

  1. Для устранения уязвимости необходимо обновить Cisco ASA до последней версии.
  2. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. Например, PT Application Firewall обнаруживает и блокирует эксплуатацию CVE-2020-3187 «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С помощью последнего обновления PT Application Firewall также выявляет и блокирует атаки через уязвимость CVE-2020-3259.
  3. Для своевременного выявления подобных уязвимостей в инфраструктуре рекомендуется использовать автоматизированные сканеры уязвимостей, в частности MaxPatrol 8.

Кроме того, экспертный центр Positive Technologies (PT ESC) готов оказать всестороннюю помощь в предупреждении и выявлении фактов атак на вашу компанию с использованием данной уязвимости:

  1. Произвести поиск уязвимых систем на периметре.
  2. Мониторить уровень безопасности всей инфраструктуры с помощью установленных систем информационной безопасности (MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall) с целью выявления фактов компрометации.
  3. Произвести поиск следов компрометации в ИТ-инфраструктуре.

Сервис доступен через согласование с вашим менеджером в Positive Technologies.

Где узнать больше

В эту пятницу, 15 мая, приглашаем вас присоединиться к эфиру онлайн-проекта «ИБшник на удаленке», в ходе которого эксперты Positive Technologies представят не только подробности кейса с Cisco, но и расскажут более подробно о рисках, связанных с уязвимостями нулевого дня.

Программа эфира

  • 18:00 ― анонс эфира, ведущий ― Владимир Заполянский, директор по маркетингу Positive Technologies.
  • 18:05―18:25 ― подробности выявления уязвимости в Cisco ASA из первых рук: беседа с Михаилом Ключниковым, экспертом Positive Technologies, обнаружившим уязвимости в межсетевом экране Cisco ASA.
  • 18:25―18:45 ― поиск уязвимостей нулевого дня, ответственное разглашение, коммуникация с вендорами ― о том, зачем все это нужно, поговорят эксперты Positive Technologies ― Дмитрий Серебрянников, директор по анализу защищенности, и Дмитрий Скляров, глава отдела анализа приложений.
  • 18:45―19:05 ― какова роль выявления уязвимостей в повышении защищенности бизнеса, в чем ключевая проблема VM, и часто ли злоумышленники используют уязвимости нулевого дня в своих атаках ― эти вопросы обсудит Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

Присоединиться к эфиру

Приглашаем вас стать партнёрами онлайн-проекта «ИБшник на удаленке» . Если для вашей компании интересно выступить в качестве спикера или приглашенного гостя, обращайтесь на partners@ptsecurity.com.