Cisco varuje, ve WebVPN má chybu se závažností 10 z 10
31.1.2018, Milan Šurkala, aktualita
Společnost Cisco zjistila, že její bezpečnostní produkty s podporou WebVPN mají v sobě tak závažnou bezpečnostní chybu, že byla označena maximálním stupněm hrozby 10 z 10. Výrazně doporučuje okamžitý update firmwaru.
U výpočetní techniky se nikdy nelze spolehnout na 100% bezpečnost a několik posledních firewallů a dalších bezpečnostních řešení společnosti Cisco jsou toho znovu důkazem. Výrobce totiž musel vyřešit chybu CVE-2018-0101, která dostala na stupnici CVSS hovořící o míře závažnosti hrozby to maximální možné označení 10 z 10. Chyba se nachází v implementaci WebVPN, která dovoluje přístup do vnitřní sítě přes rozhraní webového prohlížeče, přičemž to je realizováno pomocí běžného HTTP připojení s SSL.
Pokud je tedy WebVPN na takovém zařízení Cisca zapnuto, díky chybě práce s pamětí stačí útočníkovi zaslat speciálně upravené XML zprávy a v případě úspěchu může odkudkoli z internetu získat přístup k vnitřní síti, aniž by se musel jakkoli autentizovat. Na napadnutém systému pak může spustit i vlastní kód a získat nad ním plnou kontrolu.
Kvůli snadnosti provedení a závažnosti toho, co lze se systémem následně provádět, dostala chyba tak závažné označení. Proto je také potřeba co nejrychleji updatovat firmware na novou verzi, která už má tuto chybu opravenu. Dotčenými zařízeními společnosti Cisco jsou následující:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module pro Cisco Catalyst 6500 Series Switches a Cisco 7600 Series
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
Zatím není znám případ využití této zranitelnosti, nicméně nyní po jejím zveřejnění je možné, že snahy o napadení dosud neopravených firewallů Cisco významně vzrostou.
Zdroj: cisco.com, arstechnica.com