Cisco, Çarşamba günü, yazılımında, hassas cihazlarla ilgili hassas bilgileri sızdırmak için kötüye kullanılabilecek birden fazla kusur içeren yamalar yayınladı.
Tanımlayıcı atanan sorun CVE-2022-20866 (CVSS puanı: 7.4), Cisco Adaptive Security Appliance (ASA) Yazılımı ve Cisco Firepower Threat Defense (FTD) Yazılımını çalıştıran cihazlarda RSA anahtarlarını işlerken bir “mantık hatası” olarak tanımlanmıştır.
Kusurdan başarılı bir şekilde yararlanılması, bir saldırganın RSA özel anahtarını bir Lenstra yan kanal saldırısı hedeflenen cihaza karşı
Cisco, 10 Ağustos’ta yayınlanan bir danışma belgesinde, “Bir saldırgan RSA özel anahtarını alırsa, anahtarı Cisco ASA Yazılımı veya Cisco FTD Yazılımı çalıştıran bir cihazın kimliğine bürünmek veya cihaz trafiğinin şifresini çözmek için kullanabilir.”
Cisco, kusurun yalnızca Cisco ASA Yazılımı 9.16.1 ve sonraki sürümlerini ve Cisco FTD Yazılımı 7.0.0 ve sonraki sürümlerini etkilediğini belirtti. Etkilenen ürünler aşağıda listelenmiştir –
- FirePOWER Hizmetleri ile ASA 5506-X
- FirePOWER Servisleri ile ASA 5506H-X
- FirePOWER Servisleri ile ASA 5506W-X
- FirePOWER Hizmetleri ile ASA 5508-X
- FirePOWER Hizmetleri ile ASA 5516-X
- Firepower 1000 Serisi Yeni Nesil Güvenlik Duvarı
- Firepower 2100 Serisi Güvenlik Cihazları
- Firepower 4100 Serisi Güvenlik Cihazları
- Firepower 9300 Serisi Güvenlik Cihazları ve
- Güvenli Güvenlik Duvarı 3100
ASA yazılım sürümleri 9.16.3.19, 9.17.1.13 ve 9.18.2 ve FTD yazılım sürümleri 7.0.4, 7.1.0.2-2 ve 7.2.0.1 güvenlik açığını gidermek için yayımlanmıştır.
Cisco, hatayı bildirdikleri için California San Diego Üniversitesi’nden Nadia Heninger ve George Sullivan’a ve Colorado Boulder Üniversitesi’nden Jackson Sippe ve Eric Wustrow’a teşekkür etti.
Ayrıca Cisco tarafından yamalanan, istemci tarafında bir istek kaçakçılığı hatasıdır. İstemcisiz SSL VPN (WebVPN) Cisco Adaptive Security Appliance (ASA) Yazılımının, kimliği doğrulanmamış, uzak bir saldırganın kurbana karşı siteler arası komut dosyası oluşturma gibi tarayıcı tabanlı saldırılar gerçekleştirmesini sağlayabilen bileşeni.
Şirket zayıflığı söyledi, CVE-2022-20713 (CVSS puanı: 4.3), 9.17(1) sürümünden önceki bir Cisco ASA Yazılımı sürümünü çalıştıran Cisco cihazlarını etkiler ve İstemcisiz SSL VPN özelliğinin açık olması.
Kusuru gidermek için herhangi bir geçici çözüm bulunmamakla birlikte, etkilenen kullanıcılar İstemcisiz SSL VPN özelliğini devre dışı bırakabilir, ancak Cisco bunu yapmanın ağın “işlevselliğini veya performansını olumsuz yönde etkileyebileceği” konusunda uyarır.
Gelişme, siber güvenlik firması Rapid7 olarak geliyor ifşa ASA, Adaptive Security Device Manager (ASDM) ve ASA için FirePOWER Services Yazılımında bulunan ve yedi tanesi o zamandan beri Cisco tarafından ele alınan 10 hatanın ayrıntıları.
Bunlar şunları içerir: CVE-2022-20829 (CVSS puanı: 9.1), CVE-2022-20651 (CVSS puanı: 5.5), CVE-2021-1585 (CVSS puanı: 7.5), CVE-2022-20828 (CVSS puanı: 6.5) ve bir CVE tanımlayıcısı atanmamış diğer üç kusur.