Компания Cisco исправила уязвимость в программном обеспечении Cisco Firepower Device Manager (FDM) On-Box, выявленную экспертами Positive Technologies Никитой Абрамовым и Михаилом Ключниковым.
Этот диспетчер устройств предназначен для локальной настройки межсетевых NGFW-экранов Cisco Firepower. Согласно отчету аналитического агентства Forrester Research, компания Cisco признана лидером рынка корпоративных межсетевых экранов.
Уязвимость CVE-2021-1518 получила оценку 6,3 по шкале CVSS 3.1. Проблема была обнаружена в REST API [1] встроенного программного обеспечения Cisco FDM On-Box. Ошибка могла позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код в операционной системе пораженного устройства.
«Для того чтобы воспользоваться этой уязвимостью, злоумышленнику достаточно было иметь учетные данные пользователя с низкими привилегиями и отправить специально сформированный HTTP-запрос, — рассказали эксперты Positive Technologies, обнаружившие данную уязвимость. — С технической точки зрения уязвимость вызвана недостаточной проверкой пользовательского ввода для определенных команд REST API».
Уязвимости подвержены Cisco FDM On-Box версий 6.3.0, 6.4.0, 6.5.0, 6.6.0 и 6.7.0. Компания Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость, — 6.4.0.12, 6.4.4 и 6.7.0.2.
Обнаружить попытки эксплуатации уязвимостей в межсетевом экране Cisco позволят системы глубокого анализа сетевого трафика (NTA/NDR), в частности PT Network Attack Discovery. Одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM), которые дают возможность выявить подозрительное поведение, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.
[1] REST API — это прикладной программный интерфейс (API), который использует HTTP- или HTTPS-запросы для взаимодействия между веб-сервисами. REST API позволяет веб-клиентам и серверам взаимодействовать с большим разнообразием веб-ресурсов.
