Хакеры могут обойти продукты безопасности Cisco при атаках на кражу данных

41
Cisco прогнозирует рост за счет перехода на новое программное обеспечение

Cisco заявила, что злоумышленники, не прошедшие проверку подлинности, могут обойти технологию фильтрации проверки TLS в нескольких продуктах для эксфильтрации данных с ранее скомпрометированных серверов внутри сетей клиентов.

В таких атаках злоумышленники могут использовать уязвимость в фильтрации запросов идентификации имени сервера (SNI), влияющую на продукты Industrial Security Appliance (ISA) серии 3000, Firepower Threat Defense (FTD) и Web Security Appliance (WSA).

«Используя SNIcat или аналогичный инструмент, удаленный злоумышленник может эксфильтровать данные в приветственном пакете SSL-клиента, потому что возвращаемый серверный приветственный пакет от сервера в заблокированном списке не фильтруется», – пояснила Cisco .

«Эта связь может использоваться для выполнения командно-административной атаки на скомпрометированный хост или выполнения дополнительных атак по краже данных».

Пока что группе реагирования на инциденты безопасности продуктов Cisco (PSIRT) ничего не известно о злоумышленниках или вредоносных программах, использующих эту брешь в безопасности в дикой природе.

Скрытая кража данных путем злоупотребления TLS

SNIcat (Конкатенатор индикации имени сервера) – это скрытый метод эксфильтрации, обнаруженный исследователями безопасности mnemonic Labs, который обходит решения периметра безопасности и устройства проверки TLS (например, веб-прокси, межсетевые экраны следующего поколения (NGFW) через пакеты приветствия клиента TLS.

«Используя наш метод эксфильтрации SNIcat, мы обнаружили, что можем обойти решение безопасности, выполняющее проверку TLS, даже когда используемый нами домен Command & Control (C2) заблокирован общими функциями репутации и предотвращения угроз, встроенными в сами решения безопасности», – сказали исследователи.

«Короче говоря, мы обнаружили, что решения, предназначенные для защиты пользователей, познакомили их с новой уязвимостью».

Помимо Cisco, лаборатории мнемоники успешно протестировали SNIcat на продуктах от F5 Networks (F5 BIG-IP под управлением TMOS 14.1.2, с SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW под управлением PAN-OS 9.1.1) и Fortinet (Fortigate NGFW под управлением FortiOS 6.2.3).

Исследователи также разработали инструмент проверки концепции, который помогает извлекать данные с ранее взломанных серверов через скрытый канал SNI, используя агент на взломанном хосте и командно-управляющий сервер, который собирает эксфильтрованные данные.

«Cisco изучает свою линейку продуктов, чтобы определить, какие продукты могут быть подвержены этой уязвимости», – добавила Cisco.

«По мере продвижения расследования Cisco будет обновлять этот информационный бюллетень, добавляя информацию о затронутых продуктах».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here