Уязвимости в Cisco ASA позволяют получить доступ по внутреннюю сеть
Эксперты Positive Technologies выявили и помогли устранить две критически опасные уязвимости в межсетевом экране Cisco ASA. Их эксплуатация может привести к тому, что сотрудники компании не смогут подключиться к VPN или в корпоративную сеть проникнет злоумышленник. Компания Cisco выпустила обновления: рекомендуется установить их в кратчайшие сроки.
С начала года число доступных из интернета и уязвимых Cisco ASA, на которых можно за одну минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть предприятия, увеличилось на 30% - с 170 тыс. до более 220 тыс. Почти половина таких устройств находится в США (47%). Далее следуют Великобритания (6%), Германия и Канада (4%), Япония и Россия (по 2%).
Первая уязвимость с идентификатором CVE-2020-3187 получила оценку 9,1, что означает критический уровень опасности. Ее эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка дает злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
Вторая уязвимость в Cisco ASA, обнаруженная Михаилом Ключниковым и Никитой Абрамовым, получила оценку 7,5 (CVE-2020-3259). Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации.
Эксперты подчеркивают, что недостаточное внимание к устранению этих уязвимостей вкупе с общим ростом числа удаленных рабочих столов, уязвимых для BlueKeep (CVE-2019-0708), существенно повышает шансы злоумышленников на проведение успешных атак, нацеленных на доступ к конфиденциальной информации, к критически важным для бизнеса сетям и системам (включая технологические сети, сети управления банкоматами, процессинг, серверы "1С").