Эксперты Positive Technologies Михаил Ключников и Юрий Алейнов обнаружили критически опасную уязвимость в веб-интерфейсе популярного сервера управления доступом Cisco ACS[1]. Недостаток безопасности позволяет неавторизованному атакующему выполнять произвольные команды на сервере от лица привилегированного пользователя.

Уязвимость CVE-2018-0253 получила оценку 9,8 балла по шкале CVSS v. 3.0, что означает критический уровень опасности. Если злоумышленник уже находится во внутренней сети, то он может изменять или собирать учетные данные пользователей сетевых устройств, атаковать другие ресурсы внутренней сети или проводить атаки «человек посередине». Если же веб-интерфейс Cisco ACS доступен из внешней сети, то эти действия могут проводиться из любой точки мира.

«При интеграции Cisco ACS с Microsoft Active Directory, что случается весьма часто, атакующий может украсть учетную запись администратора домена, а при менее благоприятных условиях (без интеграции с Active Directory) — получить контроль над роутерами и межсетевым экранами для прослушивания трафика всей сети (включая конфиденциальные данные) или доступ к закрытым сегментам сети, например процессингу в банке», — говорит специалист отдела анализа защищенности веб-приложений Positive Technologies Михаил Ключников.

Проблема связана с некорректной обработкой сообщений протокола AMF3 на сервере. В составе сообщения AMF3 злоумышленник может передать специально подготовленный Java-объект в сериализованном виде[2]. При десериализации этого объекта сервер загрузит вредоносный код из источника, указанного нарушителем, и выполнит его.

Уязвимости подвержены версии Cisco ACS, выпущенные до v5.8.0.32.7 (авторизация не требуется), а также v5.8.0.32.7 и v5.8.0.32.8 (требуется авторизация). Для устранения проблемы производитель рекомендует обновить сервер до версии 5.8.0.32.9 или более поздней.

Для выявления действий злоумышленников компания Positive Technologies предлагает использовать систему управления событиями информационной безопасности MaxPatrol SIEM. В апреле в MaxPatrol SIEM были добавлены 26 новых правил обнаружения инцидентов в Active Directory; службы каталогов Microsoft зачастую тесно интегрированы с Cisco ACS в корпоративных сетях и нередко являются главной мишенью атак. Дополнительно для защиты от кибератак с использованием этой уязвимости может применяться межсетевой экран прикладного уровня PT Application Firewall, в котором реализованы защита от атак, связанных с десериализацией в Java, и поддержка протокола AMF.

13 июня, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.07.2026
Минцифры — за «нулевые» SIM-карты
17.07.2026
ИИ перешёл от сортировки резюме непосредственно к собеседованиям
17.07.2026
Киберустойчивость в фокусе «Информзащиты»
17.07.2026
Мастер ПДн от ARinteg включен в реестр отечественного ПО
17.07.2026
С 2027 года о банкирах расскажут только базовый минимум
16.07.2026
ООН: Сложность задач, решаемых ИИ-моделями, удваивается каждые 4–7 месяцев
16.07.2026
«Яндекс» подтвердил безопасность всех ИИ-моделей семейства Alice AI
16.07.2026
Кто заплатит жертве скамеров, покажет проверка
16.07.2026
Сервисы VK удаляют из магазинов приложений для Android
16.07.2026
Инвестиции в ИКТ растут, несмотря на обратный тренд в экономике в целом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных