Недавно эксперты Positive Technologies Михаил Ключников и Никита Абрамов выявили и помогли устранить две опасные уязвимости в межсетевом экране Cisco ASA. Ошибки безопасности позволяли потенциальному злоумышленнику парализовать работу удалённых сотрудников или получить доступ по внутреннюю сеть.
Согласно опросу Positive Technologies, Cisco VPN используют 28% крупных российский компаний для организации удалённого доступа. При этом с начала января этого года число доступных из интернета и уязвимых Cisco ASA, на которых можно за одну минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть предприятия, увеличилось на 30% — с 170 тысяч до более 220 тысяч. Почти половина таких устройств находится в США (47%), далее следуют Великобритания (6%), Германия и Канада (4%), Япония и Россия (по 2%).
Одна из уязвимостей, получившая идентификатор CVE-2020-31-87, имела критический уровень опасности. Её эксплуатация не требовала высокой квалификации злоумышленника: воспользовавшись уязвимостью в WebVPN, неавторизованный внешний пользователь мог проводить DoS-атаки на устройства Cisco ASA просто удаляя файлы из системы. Такие действия позволяли отключить VPN в Cisco ASA. Помимо этого, ошибка давала злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN. При этом пользователи не смогли бы в принципе войти в веб-интерфейс или подключиться с помощью клиента — они просто увидели бы ошибку и не поняли, что происходит.
«Блокировка VPN грозит нарушением множества бизнес-процессов. Например, может быть нарушена связанность филиалов в распределённой корпоративной сети, могут перестать работать электронная почта, ERP и другие ключевые системы. Другая проблема — возможная недоступность внутренних ресурсов для сотрудников, работающих удалённо. Сейчас это крайне опасно, так как многие компании в связи со вспышкой коронавируса переходят или уже перешли на дистанционную работу», — отметил Михаил Ключников, выявивший уязвимость.
Вторая уязвимость, с идентификатором CVE-2020-3259, позволяла читать некоторые части динамической памяти устройства и получать актуальный идентификатор сессии пользователя, подключённого к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник мог указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например, имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также могла быть реализована удалённо и не требовала авторизации.
«Что можно получить, используя эту уязвимость? Напрямую какие-то файлы или переписку получить нельзя. Однако злоумышленник, используя уязвимость, может проникнуть во внутреннюю сеть, что очень опасно, и дальше развивать атаку на внутренний сегмент сети. Внутренний сегмент сети, как правило, менее защищён, чем внешний. Потому что обычно в компании думают, что внутрь никто не зайдёт, зачем там защищаться», — рассказал эксперт.
Для устранения уязвимости необходимо обновить Cisco ASA до последней версии. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений.
Недостаточное внимание к устранению этих уязвимостей вкупе с общим ростом числа удаленных рабочих столов, уязвимых для BlueKeep (CVE-2019-0708), существенно повышает шансы злоумышленников на проведение успешных атак, нацеленных на доступ к конфиденциальной информации, к критически важным для бизнеса сетям и системам (включая технологические сети, сети управления банкоматами, процессинг, серверы «1С»).
