Cisco: ошибка RCE в диспетчере межсетевого экрана — это ошибка нулевого дня

73
Cisco призывает администраторов исправить нулевой день IOS XR, используемый в атаках

В опубликованном в четверг обновлении с рекомендациями по безопасности Cisco сообщила, что уязвимость удаленного выполнения кода (RCE) в средстве запуска Adaptive Security Device Manager (ADSM), раскрытая в прошлом месяце, является ошибкой нулевого дня, для которой еще не было обновлено обновление безопасности.

Cisco ADSM — это менеджер устройства межсетевого экрана, который предоставляет веб-интерфейс для управления межсетевыми экранами Cisco Adaptive Security Appliance (ASA) и клиентами AnyConnect Secure Mobility.

«На момент публикации Cisco планировала исправить эту уязвимость в Cisco ASDM», — говорится в обновленном сообщении компании.

«Cisco не выпускала обновлений программного обеспечения, устраняющих эту уязвимость. Не существует способов обхода этой уязвимости».

В предыдущем обновлении компания также изменила список уязвимых версий программного обеспечения ADSM с выпусков «9.16.1 и более ранних», как указано в первоначальной рекомендации, до «7.16 (1.150) и более ранних».

Ошибка RCE, которую можно использовать с помощью атаки MiTM

Ошибка нулевого дня, отслеживаемая как CVE-2021-1585 , вызвана неправильной проверкой подписи для кода, передаваемого между ASDM и Launcher.

Успешная эксплуатация может позволить неаутентифицированному злоумышленнику удаленно выполнить произвольный код в целевой операционной системе с привилегиями, назначенными ASDM Launcher.

«Злоумышленник может воспользоваться этой уязвимостью, используя позицию« человек посередине »в сети, чтобы перехватить трафик между Launcher и ASDM, а затем ввести произвольный код», — поясняет Cisco в обновленном информационном бюллетене.

«Успешный эксплойт может потребовать от злоумышленника выполнить атаку социальной инженерии, чтобы убедить пользователя инициировать обмен данными от программы запуска к ASDM».

Кроме того, компания заявляет, что ее группа реагирования на инциденты, связанные с безопасностью продуктов (PSIRT), еще не знает об экспериментальных эксплойтах для этого нулевого дня или злоумышленниках, использующих его в дикой природе.

Не первое родео

Из новостей по теме: три месяца назад Cisco устранила уязвимость нулевого дня шестимесячной давности (CVE-2020-3556) в программном обеспечении Cisco AnyConnect Secure Mobility Client VPN с помощью общедоступного экспериментального кода эксплойта.

Хотя Cisco PSIRT сообщила, что на момент раскрытия ошибки экспериментальный код эксплойта был общедоступен, она также добавила, что не было никаких доказательств злоупотреблений.

Cisco объявила о нулевом дне в ноябре 2020 года без обновлений безопасности, устраняющих основную слабость, но она предоставила меры по смягчению, чтобы уменьшить поверхность атаки.

До обращения к CVE-2020-3556 в мае не сообщалось об активной эксплуатации, вероятно, потому, что конфигурации VPN по умолчанию были уязвимы для атак, и ошибка могла быть использована только аутентифицированными локальными злоумышленниками.

Однако в прошлом месяце злоумышленники сразу же набросились на ошибку Cisco ASA (частично исправленную в октябре 2020 года и полностью исправленную в апреле 2021 года), сразу после того , как группа нападений Positive Technologies опубликовала уязвимость PoC.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии