Эксперты компании Positive Technologies Михаил Ключников и Никита Абрамов обнаружили и помогли устранить две критически опасные уязвимости в межсетевом экране Cisco ASA (Adaptive Security Appliance). Их эксплуатация могла привести к тому, что сотрудники компании не смогут подключиться к VPN, а в корпоративную сеть проникнет злоумышленник. Инженеры Cisco уже выпустили обновления для этих проблем, их рекомендуется установить как можно быстрее. Первая уязвимость с идентификатором CVE-2020-3187 набрала 9,1 баллов по шкале оценки уязвимостей, то есть ей был присвоен критический уровень опасности. Ее эксплуатация не требует высокой квалификации от злоумышленника. Воспользовавшись уязвимостью в WebVPN, неавторизованный внешний атакующий может осуществлять DoS-атаки на устройства Cisco ASA, просто удаляя файлы из системы. Такие действия позволяют отключить VPN в Cisco ASA. Помимо этого, ошибка дает злоумышленнику возможность читать некоторые файлы, относящиеся к веб-интерфейсу VPN. «Блокировка VPN грозит нарушением множества бизнес-процессов. Например, может быть нарушена связанность филиалов в распределенной корпоративной сети, могут перестать работать электронная почта, ERP и другие ключевые системы. Другая проблема — возможная недоступность внутренних ресурсов для сотрудников, работающих удаленно. Сейчас это крайне опасно, так как многие компании в связи со вспышкой коронавируса переходят или уже перешли на дистанционную работу», — отметил эксперт Positive Technologies Михаил Ключников, выявивший уязвимость. Вторая уязвимость в Cisco ASA (CVE-2020-3259), обнаруженная Михаилом Ключниковым и Никитой Абрамовым, набрала 7,5 баллов по шкале CVSS. Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть использована удаленно и не требует авторизации. Эксперты Positive Technologies отмечают, что для устранения уязвимости необходимо обновить Cisco ASA до последней версии. Также для блокировки возможной атаки компании могут использовать межсетевые экраны уровня приложений. В Positive Technologies подчеркивают, что недостаточное внимание к устранению этих уязвимостей, вкупе с общим ростом числа удаленных рабочих столов, уязвимых перед проблемой BlueKeep (CVE-2019-0708), существенно повышает шансы злоумышленников на проведение успешных атак, нацеленных на доступ к конфиденциальной информации, на критически важные для бизнеса сети и системы (включая технологические сети, сети управления банкоматами, процессинг, серверы «1С»). Исследователи отмечают, что с начала января 2020 года число доступных из интернета и уязвимых Cisco ASA, на которых можно за одну минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть предприятия, увеличилось на 30% — с 170 000 до более 220 000. Почти половина таких устройств находится в США (47%). Далее следуют Великобритания (6%), Германия и Канада (4%), Япония и Россия (по 2%).