Справочная информация.
Исследователи Volexity предупреждают, что еще один продукт Cisco предназначен для злоумышленников, которые ищут постоянный путь в компьютерные сети и системы различных организаций.
«Cisco Clientless SSL VPN (Web VPN) — это веб-портал, который можно включить на устройствах Cisco Adaptive Security Appliance организации (ASA)», — пояснили исследователи . «Как только пользователь проходит аутентификацию в Web VPN на основе разрешений, которые он имеет, он может получить доступ к внутренним веб-ресурсам, просматривать внутренние общие файловые ресурсы и запускать подключаемые модули, которые позволяют ему telnet, ssh или VNC внутренние ресурсы. »
Злоумышленники либо используют уязвимость в продукте, либо пытаются получить доступ администратора другими способами, но конечная цель та же: внедрить код JavaScript на страницах входа в VPN для сбора учетных данных сотрудников.
Вышеупомянутая уязвимость (CVE-2014—3393) была исправлена более года назад. Тем не менее, организации медленно внедряют это исправление, и злоумышленники пользуются этим недостатком.
Вредоносный код JavaScript для кражи данных, внедренный на странице входа Cisco Web VPN целевых организаций, обычно размещается на законных, но скомпрометированных сайтах и «извлекается» из них каждый раз, когда пользователь получает доступ к порталу.
По словам исследователей, точечные атаки были сделаны против медицинских и академических учреждений, предприятий электроники / производства, а также мозговых центров, НПО и правительств.
«Volexity знает, что это возможно на 100%, и предполагает, что в некоторых случаях злоумышленники могут использовать административный доступ к устройству Cisco ASA с полномочиями для изменения страницы входа в систему», — отметили исследователи и объяснили, что это можно сделать с помощью Cisco Adaptive Security Device Manager (ASDM), административный интерфейс Java для брандмауэров Cisco, доступ к которому можно получить через веб-браузер.
«Доступ к устройствам ASDM должен быть ограничен через списки контроля доступа (ACL) настолько жестко, насколько это возможно. Как минимум, это не интерфейс, который должен быть открыт для Интернета. Злоумышленники, которые могут получить доступ к этому интерфейсу, имея доступ к среде жертвы или из-за неправильной конфигурации ACL, могут легко изменить код, который загружается через страницу входа Cisco Web VPN », — отметили они.
К сожалению, двухфакторная проверка подлинности не помогла бы предотвратить эту конкретную атаку, поскольку злоумышленники могли легко изменить код страницы входа в систему для кражи файлов cookie сеанса (довольно удивительно, что Cisco Web VPN не отключает одного из двух пользователей с одинаковой аутентификацией сеанс) или украсть и повторно использовать токен аутентификации.
Так как этот тип атаки на сетевые устройства трудно обнаружить с помощью обычных инструментов и мер безопасности, администраторам было бы неплохо часто проверять сетевое оборудование на наличие признаков компрометации.
Менее месяца назад исследователи FireEye обнаружили вредоносные маршрутизаторы на маршрутизаторах Cisco по всему миру, открывая постоянную точку входа в целевые сети.
«Брандмауэры, сетевые устройства и все остальное, к чему злоумышленник может получить доступ, должны подвергаться тщательному анализу так же, как любая рабочая станция или сервер в организации», — прокомментировали исследователи.
Источник: https://video24.org/