Cisco исправляет ошибку, позволяющую украсть закрытый ключ RSA на устройствах ASA, FTD
Cisco раскрывает AnyConnect VPN zero-day, доступен код эксплойта
Cisco раскрыла сегодня уязвимость нулевого дня в программном обеспечении Cisco AnyConnect Secure Mobility Client с общедоступным контрольным кодом эксплойта.
Хотя обновления безопасности для этой уязвимости, связанной с выполнением произвольного кода, еще не доступны, Cisco работает над решением проблемы «нулевого дня», и исправление будет внесено в будущую версию клиента AnyConnect.
Однако, по данным группы реагирования на инциденты безопасности продуктов Cisco (PSIRT), уязвимость безопасности клиента Cisco AnyConnect Secure Mobility еще не использовалась в реальных условиях.
Устройства с конфигурациями по умолчанию не уязвимы
Уязвимость высокой степени серьезности, отслеживаемая как CVE-2020-3556, существует в канале межпроцессного взаимодействия (IPC) клиента Cisco AnyConnect и может позволить аутентифицированным и локальным злоумышленникам выполнять вредоносные сценарии через целевого пользователя.
Она затрагивает все версии клиентов AnyConnect для Windows, Linux и macOS с уязвимыми конфигурациями - мобильные клиенты iOS и Android не подвержены этой уязвимости.
«Уязвимая конфигурация требует, чтобы были включены настройки автоматического обновления и включения сценариев», - поясняет Cisco. «Автообновление включено по умолчанию, а включение сценариев отключено по умолчанию».
Для успешной эксплуатации также требуются активные сеансы AnyConnect и действительные учетные данные на целевом устройстве.
Доступны меры по смягчению последствий
Несмотря на то, что обходных путей для решения CVE-2020-3556 не существует, ее можно смягчить, отключив функцию автоматического обновления.
Поверхность атаки также можно резко уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.
Об уязвимости в Cisco сообщил Герберт Ройтбурд из Secure Mobile Networking Lab (TU Darmstadt).
Сегодня Cisco также исправила 11 других ошибок безопасности высокой степени серьезности и 23 ошибки безопасности средней степени серьезности в нескольких продуктах, которые могли привести к отказу в обслуживании или выполнению произвольного кода на уязвимых устройствах.
Cisco также исправила активно эксплуатируемые недостатки в нескольких маршрутизаторах операторского уровня и межсетевом экране ASA / FTD в сентябре и июле соответственно.
https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Клиент AnyConnect Secure Mobility Client компании позволяет работать на корпоративных устройствах, подключенных к защищенной виртуальной частной сети (VPN) через Secure Sockets Layer (SSL) и IPsec IKEv2, используя VPN-клиенты, доступные для всех основных настольных и мобильных платформ.
Cisco раскрыла ошибку нулевого дня, отмеченную как CVE-2020-3556, в ноябре 2020 года, не выпуская обновлений безопасности, но предоставила меры по снижению вероятности атаки.
Хотя группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявила, что доступен тестовый код эксплойта CVE-2020-355, она также добавила, что нет никаких свидетельств того, что злоумышленники использовали его в дикой природе.
Уязвимость устранена в программном обеспечении Cisco AnyConnect Secure Mobility Client версии 4.10.00093 и более поздних.
В этих новых версиях также представлены новые параметры, помогающие индивидуально разрешать / запрещать обновления сценариев, справки, ресурсов или локализации в локальной политике - параметры, которые настоятельно рекомендуются для повышения защиты.
Также доступно смягчение последствий
Клиенты, которые не могут сразу установить обновления безопасности, выпущенные вчера, могут снизить уязвимость, отключив функцию автоматического обновления.
Поверхность атаки также можно уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.
Cisco также предоставляет подробные инструкции по обновлению для клиентов, которые уже применили рекомендуемые обходные пути или не могут выполнить обновление до исправленных выпусков.
На прошлой неделе компания также исправила критические недостатки безопасности программного обеспечения SD-WAN vManage и HyperFlex HX, которые могли позволить удаленным злоумышленникам создавать мошеннические учетные записи администратора или выполнять произвольные команды от имени пользователя root.
https://www.bleepingcomputer.com/news/security/cisco-fixes-6-month-old-anyconnect-vpn-zero-day-with-exploit-code/
Cisco устранила серьезную уязвимость, затрагивающую ее программное обеспечение Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
Этот недостаток безопасности, отслеживаемый как CVE-2022-20866, связан со слабостью в обработке ключей RSA на устройствах ASA и FTD.
В случае успешного использования он может позволить злоумышленникам, не прошедшим проверку подлинности, удаленно получить закрытый ключ RSA, который они могут использовать для расшифровки трафика устройства или олицетворения устройств Cisco ASA/FTD.
«Эта уязвимость возникает из-за логической ошибки, когда ключ RSA хранится в памяти на аппаратной платформе, выполняющей аппаратную криптографию», — говорится в бюллетене по безопасности, опубликованном в среду Cisco.
«Злоумышленник может воспользоваться этой уязвимостью, используя атаку Lenstra по побочному каналу против целевого устройства».
Ключи RSA (хранящиеся в памяти или во флэш-памяти) в уязвимых версиях программного обеспечения могут быть искажены (неработоспособны, но уязвимы для кражи закрытых ключей) или уязвимы (действительны, но уязвимы для кражи), независимо от того, где они были сгенерированы.
Уязвимость затрагивает продукты Cisco, использующие уязвимое программное обеспечение Cisco ASA (9.16.1 и выше) или Cisco FTD (7.0.0 и выше), которые выполняют аппаратные криптографические функции:
ASA 5506-X с сервисами FirePOWER
ASA 5506H-X с сервисами FirePOWER
ASA 5506W-X с сервисами FirePOWER
ASA 5508-X с сервисами FirePOWER
ASA 5516-X с сервисами FirePOWER
Межсетевой экран нового поколения серии Firepower 1000
Охранные устройства серии Firepower 2100
Охранные устройства серии Firepower 4100
Охранные устройства серии Firepower 9300
Безопасный брандмауэр 3100
Cisco говорит, что если ключ был настроен для использования в любое время, также возможно, что закрытый ключ RSA был передан злоумышленникам.
«В результате этой уязвимости администраторам устройств Cisco ASA или FTD может потребоваться удалить искаженные или уязвимые ключи RSA и, возможно, отозвать любые сертификаты, связанные с этими ключами RSA», — добавили в компании.
«Это связано с тем, что закрытый ключ RSA мог быть передан злоумышленнику».
Cisco выразила благодарность Нади Хенингер и Джорджу Салливану из Калифорнийского университета в Сан-Диего, а также Джексону Сиппе и Эрику Вустроу из Университета Колорадо в Боулдере за сообщение об уязвимости в системе безопасности.
Группа реагирования на инциденты, связанные с безопасностью продуктов (PSIRT) сетевого гиганта заявляет, что не обнаружила никаких доказательств использования в атаках, хотя информация об этой уязвимости уже была опубликована.
Рекомендации по безопасности Cisco предоставляют дополнительную информацию об уязвимых конфигурациях и индикаторах компрометации для исправленных выпусков программного обеспечения Cisco ASA или FTD.
Неделю назад Cisco также устранила критические ошибки безопасности, затрагивающие VPN-маршрутизаторы для малого бизнеса, которые могут позволить злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код или команды и вызвать отказ в обслуживании (DoS) на неисправленных устройствах.
https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-rsa-private-key-theft-on-asa-ftd-devices/