Уязвимость Cisco ASA могла позволить злоумышленнику попасть во внутреннюю сеть

Компания Cisco исправила уязвимость переполнения кучи¹ ( CVE-2022-20737² , 8,5 балла по шкале CVSS 3.0) в Cisco Adaptive Security Appliance (ASA)³, обнаруженную исследователем Positive Technologies Никитой Абрамовым. Уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, вызвать состояние отказа в обслуживании (DoS) на уязвимом устройстве или получить доступ к его памяти, которая может содержать конфиденциальную информацию.

«Если у атакующего имеется доступ к клиентскому средству удаленного доступа SSL VPN, встроенному в Cisco ASA, то он может использовать это средство для формирования специального типа запросов и их дальнейшей отправки на подконтрольный злоумышленнику сайт. Определенная последовательность таких запросов может привести к утечке содержимого памяти Cisco ASA, которая, в свою очередь, может содержать конфиденциальные данные, например куки или сессии активных пользователей, часть конфигурационных данных, имена пользователей и их пароли и многое другое. С помощью такой информации можно, например, попасть в другую подсеть или даже получить доступ к панели администратора. Уязвимость также позволяет вызвать сбой в работе Cisco ASA, деактивировав, в частности, средство удаленного доступа для всех пользователей межсетевого экрана», — рассказал Никита Абрамов.

Это не первая уязвимость в Cisco ASA, опасная для корпоративной сети. В мае 2020 года число устройств, доступных из интернета и уязвимых к другой ошибке в Cisco ASA ( CVE-2020-3187 ), которая позволяла за минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть, оценивалось в 220 тыс. Почти половина из них находились в США (47%), далее следовали Великобритания (6%), Германия и Канада (по 4%), Япония и Россия (по 2%).

Описание этой уязвимости и способов ее устранения вошли в регулярный шестимесячный пакет рекомендаций компании Cisco от 27 апреля 2022 года, касающийся безопасности программного обеспечения Cisco ASA, FMC и FTD. Пакет включает 17 рекомендаций по 19-и уязвимостям в Cisco ASA, FMC и FTD.

Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения для управления уязвимостями (vulnerability management).

Ранее Никита Абрамов также помог устранить уязвимость CVE-2021-34704 в Cisco ASA и Cisco FTD (Firepower Threat Defense), которая могла приводить к отказу в обслуживании.

Согласно данным IDC и отчету Forrester Research , Cisco занимает лидирующие позиции на рынке аппаратных межсетевых экранов. По информации компании , в мире функционирует более 1 млн устройств безопасности ее производства.

¹Куча — это область памяти процесса, которая используется для хранения динамических переменных. Переполнение буфера в области данных кучи называется переполнением кучи.
²Для открытия страницы требуется VPN-подключение.
³Cisco ASA — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems. Являются наследниками межсетевых экранов Cisco PIX, систем обнаружения вторжений Cisco IPS 4200 и VPN-концентраторов Cisco VPN 3000. Так же, как и PIX, ASA основаны на процессорах x86.