Безопасность VPN-сетей на базе устройств Cisco под угрозой

01 февраля 2018 г., четверг

Критическая уязвимость в программном обеспечении позволяет выполнять сторонний код на сетевых устройствах компании.

В программном обеспечении для управления сетевыми устройствами Cisco обнаружена критическая уязвимость. Как сообщает производитель, ошибка затрагивает VPN-функционал и связана с использованием протокола SSL. Брешь позволяет злоумышленнику удаленно перезагрузить систему или выполнить на устройстве вредоносный код. Уязвимость получила максимальный 10-балльный рейтинг от CVSS.

Проблема затронула десять устройств Cisco, среди которых промышленные фаерволы Industrial Security Appliances (ISA) 3000-й серии, аппаратные системы Firepower, а также продукты линейки Adaptive Security Appliances (ASA). Кроме того, ошибка присутствует в пакете программ Firepower Thread Defense (FTD).

Уязвимость проявляется при активации функции webvpn и связана с попыткой программы удвоить объем доступной для работы памяти. При этом виртуальная сеть становится доступной для неавторизованного доступа. Злоумышленник может отправить на пораженное устройство один или несколько XML-пакетов с вредоносным кодом. Минимальный урон, который может нанести клиентам сети подобное вмешательство — отказ в обслуживании и перезагрузка системы.

Ошибка обнаружена в программном обеспечении ASA, выпущенном еще несколько лет назад. В списке релизов, которые находятся под угрозой, числятся все версии этой системы, начиная с 8.x. Пакет Firepower Thread Defense требует обновления, начиная с релиза 6.2.2, который увидел свет в прошлом году.

Cisco подготовила обновления для всех скомпрометированных продуктов. Клиенты компании, у которых имеется действующий сервисный контракт, могут получить обновления у ближайшего партнера сетевого гиганта. Остальным владельцам пораженных устройств необходимо обратиться в Cisco Technical Assistance Center (TAC) для получения бесплатного патча.

Производителю не в первый раз приходится закрывать критические бреши в своих продуктах. Не так давно компания пропатчила интернет-проигрыватель WebEx, дыра в котором позволяла запускать вредоносный код при воспроизведении файлов в формате ARF или WRF.

Также в ноябре прошлого года стало известно о серьезной ошибке в программном обеспечении Voice OS, предназначенном для голосовых коммуникаций.

Threatpost