Эксперты Positive Technologies Михаил Ключников и Никита Абрамов выявили и помогли устранить две критически опасные уязвимости в межсетевом экране Cisco ASA. Их эксплуатация может привести к тому, что сотрудники компании не смогут подключиться к VPN или в корпоративную сеть проникнет злоумышленник. Компания Cisco выпустила обновления: рекомендуем установить их в кратчайшие сроки.
С начала января 2020 года число доступных из интернета и уязвимых Cisco ASA, на которых можно за одну минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть предприятия, увеличилось на 30% — с 170 тысяч до более 220 тысяч. Почти половина таких устройств находится в США (47%). Далее следуют Великобритания (6%), Германия и Канада (4%), Япония и Россия (по 2%). Cisco VPN по итогам проведенного нами опроса лидирует как средство организации удаленного доступа в крупных российских компаниях: 28% респондентов отметили использование данного ПО.
Первая уязвимость с идентификатором CVE-2020-3187 получила оценку 9,1, что означает критический уровень опасности. Ее эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка дает злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
«Блокировка VPN грозит нарушением множества бизнес-процессов. Например, может быть нарушена связанность филиалов в распределенной корпоративной сети, могут перестать работать электронная почта, ERP и другие ключевые системы. Другая проблема — возможная недоступность внутренних ресурсов для сотрудников, работающих удаленно. Сейчас это крайне опасно, так как многие компании в связи со вспышкой коронавируса переходят или уже перешли на дистанционную работу», — отметил эксперт Positive Technologies Михаил Ключников, выявивший уязвимость.
Вторая уязвимость в Cisco ASA, обнаруженная Михаилом Ключниковым и Никитой Абрамовым, получила оценку 7,5 (CVE-2020-3259). Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации.
Эксперты Positive Technologies отмечают, что для устранения уязвимости необходимо обновить Cisco ASA до последней версии. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. Например, PT Application Firewall обнаруживает и блокирует эксплуатацию CVE-2020-3187 «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С помощью последнего обновления PT Application Firewall также выявляет и блокирует атаки через уязвимость CVE-2020-3259. Для своевременного выявления подобных уязвимостей в инфраструктуре рекомендуется использовать автоматизированные сканеры уязвимостей, в частности MaxPatrol 8.