BLACK HAT USA — Las Vegas — Cisco’nun kurumsal sınıf güvenlik duvarları, saldırganların cihazlar tarafından korunan ağlara sızmasına izin verebilecek – dördü CVE tanımlayıcıları atanmış – en az bir düzine güvenlik açığına sahiptir. 11 Ağustos’ta Black Hat USA konferansındaki bir sunumda.
Güvenlik açıkları, Cisco’nun Adaptive Security Appliance (ASA) yazılımını, şirketin kurumsal sınıf güvenlik duvarları için işletim sistemini ve ekosistemini etkiler. En önemli güvenlik zayıflığı (CVE-2022-20829), Uyarlamalı Güvenlik Aygıt Yöneticisi (ASDM) ikili paketlerinin dijital olarak imzalanmamasıdır; bu, bir sunucunun SSL sertifikasını doğrulayamamanın yanı sıra, bir saldırganın özelleştirilmiş ASA ikili dosyalarını dağıtmasına olanak tanır. bu daha sonra dosyaları yöneticilerin bilgisayarlarına yükleyebilir.
Rapid7’nin güvenlik araştırmacısı Jake Baines, yöneticilerin yalnızca ASDM yazılımının cihazlara önceden yüklenmiş olarak gelmesini beklediklerinden, ikili dosyaların imzalanmamasının saldırganlara önemli bir tedarik zinciri saldırısı sağladığını söylüyor.
“Birisi, saldırganın kendi kodunu yüklediği bir ASA cihazı satın alırsa, saldırganlar ASA cihazında kabuk almazlar, ancak bir yönetici cihaza bağlandığında, şimdi [the attackers] üzerinde bir kabuk var [the administrator’s] bilgisayar” diyor. “Bana göre bu en tehlikeli saldırı.”
bu bir düzine güvenlik açığı ASA yazılımını çalıştıran cihazları ve sanal örnekleri etkileyen sorunların yanı sıra Firepower yeni nesil güvenlik duvarı modülündeki güvenlik açıklarını içerir. Baines, bir Shodan araştırmasının yönetim arayüzünün yalnızca %20’sinin İnternet’e açık olduğunu göstermesine rağmen, Cisco’nun müşterileri tarafından dünya çapında 1 milyondan fazla ASA cihazının konuşlandırıldığını söylüyor.
Tedarik zinciri saldırısı olarak, güvenlik açıkları, tehdit aktörlerine ağın ucundaki sanal bir cihazın güvenliğini aşma yeteneği verecek – çoğu güvenlik ekibinin güvenlik tehditleri için analiz etmeyeceği bir ortam, diyor.
Tam erişim
Baines, “Sanal makineye erişiminiz varsa, ağ içinde tam erişiminiz olur, ancak daha da önemlisi, şifresi çözülmüş VPN trafiği de dahil olmak üzere tüm trafiği koklayabilirsiniz” diyor. “Dolayısıyla, bir saldırganın sakinleşmesi ve ekseni etrafında dönmesi için gerçekten harika bir yer, ancak muhtemelen yalnızca kimlik bilgilerini koklamak veya ağa akan trafiği izlemek için.”
Baines, “GUI’nin (grafiksel kullanıcı arayüzü) nasıl çalıştığına dair bir seviye seti” elde etmek ve protokolü ayırmak için Cisco ASDM’yi araştırırken sorunu keşfetti.
Yöneticilerin sistemlerine yüklenen ASDM başlatıcısı olarak bilinen bir bileşen, saldırganlar tarafından Java sınıfı dosyalarında veya ASDM Web portalı aracılığıyla kötü amaçlı kod göndermek için kullanılabilir. Sonuç olarak saldırganlar, yükleyiciler, kötü amaçlı Web sayfaları ve kötü amaçlı Java bileşenleri aracılığıyla yöneticinin sisteminin güvenliğini aşmak için kötü amaçlı bir ASDM paketi oluşturabilir.
Rapid7 tarafından keşfedilen ASDM güvenlik açıkları, Cisco’nun yakın tarihli bir güncellemede yamalandığını iddia ettiği, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) saldırısına izin veren bilinen bir güvenlik açığını (CVE-2021-1585) içerir, ancak Baines bunun devam ettiğini keşfetti.
Rapid7, ASDM sorunlarına ek olarak, Firepower yeni nesil güvenlik duvarı modülünde, kimliği doğrulanmış bir uzaktan komut ekleme güvenlik açığı (CVE-2022-20828) dahil olmak üzere bir dizi güvenlik zayıflığı buldu. Firepower modülü, ASA cihazında barındırılan Linux tabanlı bir sanal makinedir ve Rapid7’nin tavsiyesine göre trafiği sınıflandırmak için Snort tarama yazılımını çalıştırır.
“Bu sorun için son paket, ASDM’yi internete maruz bırakmanın, Firepower modülünü kullanan ASA için çok tehlikeli olabileceği olmalıdır,” danışma devletleri. “Bu, daha önce belirtildiği gibi bir kimlik bilgisi saldırısı olsa da, ASDM’nin varsayılan kimlik doğrulama şeması, aktif MitM’ye kullanıcı adı ve şifreleri ifşa eder. [machine-in-the-middle] saldırganlar.”
Güncelleme, Cisco ASA cihazları için karmaşık olabilir ve şirketler için güvenlik açıklarını azaltma konusunda bir sorun teşkil edebilir. Baines, ASA yazılımının en yaygın olarak kullanılan sürümünün beş yaşında olduğunu söylüyor. Kurulumların sadece yaklaşık yüzde yarısı ASA yazılımlarını en son sürüme yedi gün içinde güncelledi.
Baines, “Otomatik yama özelliği yok, bu nedenle cihaz işletim sisteminin en popüler sürümü oldukça eski” diyor.
Cisco, diğer ürünlerinde de güvenlik sorunlarıyla uğraşmak zorunda kaldı. Geçen hafta, Cisco üçlü güvenlik açığını açıkladı RV serisi küçük işletme yönlendiricilerinde. Güvenlik açıkları, bir saldırganın önce kimlik doğrulaması yapmadan Cisco Small Business RV160, RV260, RV340 ve RV345 Serisi Yönlendiricilerde rasgele kod yürütmesine izin vermek için birlikte kullanılabilir.