Závažné zraniteľnosti bezpečnostných produktov Cisco
Spoločnosť Cisco vydala aktualizácie opravujúce závažné zraniteľnosti produktov Cisco ASA, Firepower či manažmentového softvéru Cisco ASDM. Úspešné zneužitie zraniteľností by mohlo umožniť útočníkovi odcudziť citlivé dáta zariadení, narušiť bezpečnosť šifrovanej komunikácie alebo kompromitovať klientske zariadenie správcu.
Opis činnosti:
CVE-2022-20866 (CVSSv3 7,4)
Najzávažnejšia zraniteľnosť zariadení Cisco ASA (Adaptive Security Appliance) a FTD (Firepower Adaptive Threat Defense) bola ohodnotená ako chyba strednej závažnosti. Logická chyba existuje na zariadeniach, keď je súkromný RSA kľúč uložený vo fyzickej pamäti, ktorá vykonáva hardvérové šifrovanie. Potenciálny vzdialený a neoverený útočník by mohol chybu zneužiť použitím útoku na kryptografickú implementáciu pomocou útoku Lenstra na bočný kanál. Spoločnosť Cisco uvádza, že chyba by sa nemala týkať všetkých, ale približne 5% RSA kľúčov.
CVE-2022-20829 (CVSSv3 9.1)
Zraniteľnosť, ktorá by mohla potenciálnemu overenému útočníkovi s oprávneniami správcu na zariadení Cisco ASA (Adaptive Security Appliance) umožniť nahrať do zariadenia upravený obraz systému zariadenia, ktorý obsahuje škodlivý kód. Útočník je limitovaný možným rozsahom útoku, keďže škodlivý kód sa môže vykonať len na klientskych zariadeniach správcov Cisco ASA, ktorý naň pristupujú cez manažmentový softvér Cisco ASDM. Úspešné zneužitie zraniteľnosti by mohlo umožniť útočníkovi spúšťať ľubovoľný kód na zariadení užívateľa, ktorý pristúpil softvérom Cisco ASDM na zariadenie Cisco ASA s oprávneniami konta, ktoré na tento prístup použil.
CVE-2022-20713 (CVSSv3 4.3)
ClientLess SSL VPN (Cisco ASA starší ako 9.17(1) s funkciou SSL VPN riešenia bez potreby klienta). Existuje verejne dostupný kód pre zneužitie tejto zraniteľnosti.
CVE-2021-1585 (CVSSv3 7.5)
Cisco ASDM – chyba umožňujúca vzdialene vykonávať škodlivý kód po presvedčení správcu, aby prijal ľubovoľný súbor v rámci komunikácie medzi Launcher a ASDM.
CVE-2022-20828 (CVSS v3 6.5)
Zraniteľnosť umožňujúca overenému vzdialenému útočníkovi vykonávať ľubovoľné príkazy v systéme ASA FirePOWER s oprávneniami užívateľa root.
Zraniteľné systémy:
ASA 5506-X so službou FirePOWER
ASA 5506H-X so službou FirePOWER
ASA 5506W-X so službou FirePOWER
ASA 5508-X so službou FirePOWER
ASA 55016-X so službou FirePOWER
Firepower 1000 Series NGFW
Firepower 2100 Series SA
Firepower 4100 Series SA
Firepower 93100 Series SA
Secure Firewall 3100
Cisco ASDM 7.17 a staršie
Závažnosť zraniteľnosti: Veľmi závažná
Možné škody:
- Únik citlivých dát o zariadeniach
- Podlomenie bezpečnosti šifrovanej komunikácie
- Kompromitácia zariadenia správcu Cisco ASA
Odporúčania:
- Aktualizovať softvér Cisco ASA na verzie 9.16.3.19, 9.17.1.13, 9.18.2
- Aktualizovať softvér Cisco FTD na verzie 7.0.4, 7.1.0.2-2, 7.2.0.1
- Aktualizovať Cisco ASDM na verzie 7.18.1.152
- Vždy udržiavať sieťové prvky aktualizované
- Odporúčame implementovať v infraštruktúre sieťový bezpečnostný monitoring pre včasné odhalenie podozrivej aktivity.
- Odporúčame prevádzkovať server pre uchovávanie záznamov o sieťovej aktivite pre sieťové prvky a ostatné zariadenia na sieti a uchovávať ich najmenej 30 dní.
Odkazy:
https://www.securityweek.com/cisco-patches-high-severity-vulnerability-security-solutions
https://securityaffairs.co/wordpress/134287/security/cisco-flaw-asa-ftd.html
https://thehackernews.com/2022/08/cisco-patches-high-severity.html