Závažné zraniteľnosti bezpečnostných produktov Cisco

Spoločnosť Cisco vydala aktualizácie opravujúce závažné zraniteľnosti produktov Cisco ASA, Firepower či manažmentového softvéru Cisco ASDM. Úspešné zneužitie zraniteľností by mohlo umožniť útočníkovi odcudziť citlivé dáta zariadení, narušiť bezpečnosť šifrovanej komunikácie alebo kompromitovať klientske zariadenie správcu.

Opis činnosti:

CVE-2022-20866 (CVSSv3 7,4)

Najzávažnejšia zraniteľnosť zariadení Cisco ASA (Adaptive Security Appliance) a FTD (Firepower Adaptive Threat Defense) bola ohodnotená ako chyba strednej závažnosti. Logická chyba existuje na zariadeniach, keď je súkromný RSA kľúč uložený vo fyzickej pamäti, ktorá vykonáva hardvérové šifrovanie. Potenciálny vzdialený a neoverený útočník by mohol chybu zneužiť použitím útoku na kryptografickú implementáciu pomocou útoku Lenstra na bočný kanál. Spoločnosť Cisco uvádza, že chyba by sa nemala týkať všetkých, ale približne 5% RSA kľúčov.

CVE-2022-20829 (CVSSv3 9.1)

Zraniteľnosť, ktorá by mohla potenciálnemu overenému útočníkovi s oprávneniami správcu na zariadení Cisco ASA (Adaptive Security Appliance) umožniť nahrať do zariadenia upravený obraz systému zariadenia, ktorý obsahuje škodlivý kód. Útočník je limitovaný možným rozsahom útoku, keďže škodlivý kód sa môže vykonať len na klientskych zariadeniach správcov Cisco ASA, ktorý naň pristupujú cez manažmentový softvér Cisco ASDM. Úspešné zneužitie zraniteľnosti by mohlo umožniť útočníkovi spúšťať ľubovoľný kód na zariadení užívateľa, ktorý pristúpil softvérom Cisco ASDM na zariadenie Cisco ASA s oprávneniami konta, ktoré na tento prístup použil.

CVE-2022-20713 (CVSSv3 4.3)

ClientLess SSL VPN (Cisco ASA starší ako 9.17(1) s funkciou SSL VPN riešenia bez potreby klienta). Existuje verejne dostupný kód pre zneužitie tejto zraniteľnosti.

CVE-2021-1585 (CVSSv3 7.5)

Cisco ASDM – chyba umožňujúca vzdialene vykonávať škodlivý kód po presvedčení správcu, aby prijal ľubovoľný súbor v rámci komunikácie medzi Launcher a ASDM.

CVE-2022-20828 (CVSS v3 6.5)

Zraniteľnosť umožňujúca overenému vzdialenému útočníkovi vykonávať ľubovoľné príkazy v systéme ASA FirePOWER s oprávneniami užívateľa root.

Zraniteľné systémy:

ASA 5506-X so službou FirePOWER
ASA 5506H-X so službou FirePOWER
ASA 5506W-X so službou FirePOWER
ASA 5508-X so službou FirePOWER
ASA 55016-X so službou FirePOWER

Firepower 1000 Series NGFW
Firepower 2100 Series SA
Firepower 4100 Series SA
Firepower 93100 Series SA

Secure Firewall 3100

Cisco ASDM 7.17 a staršie

Závažnosť zraniteľnosti: Veľmi závažná

Možné škody:

  • Únik citlivých dát o zariadeniach
  • Podlomenie bezpečnosti šifrovanej komunikácie
  • Kompromitácia zariadenia správcu Cisco ASA

Odporúčania:

  • Aktualizovať softvér Cisco ASA na verzie 9.16.3.19, 9.17.1.13, 9.18.2
  • Aktualizovať softvér Cisco FTD na verzie 7.0.4, 7.1.0.2-2, 7.2.0.1
  • Aktualizovať Cisco ASDM na verzie 7.18.1.152
  • Vždy udržiavať sieťové prvky aktualizované
  • Odporúčame implementovať v infraštruktúre sieťový bezpečnostný monitoring pre včasné odhalenie podozrivej aktivity.
  • Odporúčame prevádzkovať server pre uchovávanie záznamov o sieťovej aktivite pre sieťové prvky a ostatné zariadenia na sieti a uchovávať ich najmenej 30 dní.

Odkazy:

https://www.securityweek.com/cisco-patches-high-severity-vulnerability-security-solutions

https://securityaffairs.co/wordpress/134287/security/cisco-flaw-asa-ftd.html

https://thehackernews.com/2022/08/cisco-patches-high-severity.html

https://eprint.iacr.org/2005/388.pdf