Ошибки безопасности позволяли потенциальному злоумышленнику парализовать работу удаленных сотрудников или получить доступ по внутреннюю сеть
Эксперты Positive Technologies Михаил Ключников и Никита Абрамов выявили и помогли устранить две критически опасные уязвимости в межсетевом экране Cisco ASA¹. Их эксплуатация может привести к тому, что сотрудники компании не смогут подключиться к VPN или в корпоративную сеть проникнет злоумышленник. Компания Cisco выпустила обновления: рекомендуем установить их в кратчайшие сроки.
С начала января 2020 года число доступных из интернета и уязвимых Cisco ASA, на которых можно за одну минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть предприятия, увеличилось на 30% — с 170 тысяч до более 220 тысяч. Почти половина таких устройств находится в США (47%). Далее следуют Великобритания (6%), Германия и Канада (4%), Япония и Россия (по 2%). Cisco VPN по итогам проведенного нами опроса лидирует как средство организации удаленного доступа в крупных российских компаниях: 28% респондентов отметили использование данного ПО.
Первая уязвимость с идентификатором CVE-2020-3187 получила оценку 9,1, что означает критический уровень опасности. Ее эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний злоумышленник может проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка дает злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN.
«Блокировка VPN грозит нарушением множества бизнес-процессов. Например, может быть нарушена связанность филиалов в распределенной корпоративной сети, могут перестать работать электронная почта, ERP и другие ключевые системы. Другая проблема — возможная недоступность внутренних ресурсов для сотрудников, работающих удаленно. Сейчас это крайне опасно, так как многие компании в связи со вспышкой коронавируса переходят или уже перешли на дистанционную работу», — отметил эксперт Positive Technologies Михаил Ключников, выявивший уязвимость.
Вторая уязвимость в Cisco ASA, обнаруженная Михаилом Ключниковым и Никитой Абрамовым, получила оценку 7,5 (CVE-2020-3259). Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации.
Эксперты Positive Technologies отмечают, что для устранения уязвимости необходимо обновить Cisco ASA до последней версии. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. Например, PT Application Firewall обнаруживает и блокирует эксплуатацию CVE-2020-3187 «из коробки»: систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени. С помощью последнего обновления PT Application Firewall также выявляет и блокирует атаки через уязвимость CVE-2020-3259. Для своевременного выявления подобных уязвимостей в инфраструктуре рекомендуется использовать автоматизированные сканеры уязвимостей, в частности MaxPatrol 8.
В Positive Technologies подчеркивают, что недостаточное внимание к устранению этих уязвимостей вкупе с общим ростом числа удаленных рабочих столов², уязвимых для BlueKeep (CVE-2019-0708), существенно повышает шансы злоумышленников на проведение успешных атак, нацеленных на доступ к конфиденциальной информации, к критически важным для бизнеса сетям и системам (включая технологические сети, сети управления банкоматами, процессинг, серверы «1С»).
- Cisco Adaptive Security Appliance — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems. Их возможности включают в себя межсетевое экранирование с учетом состояния соединений, глубокий анализ протоколов прикладного уровня, трансляцию сетевых адресов, IPsec VPN, SSL VPN (подключение к сети через веб-интерфейс или протоколы динамической маршрутизации — RIP, EIGRP, OSPF).
- В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP), всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows.