Експерти виявили критично небезпечну вразливість у веб-інтерфейсі популярного сервера керування доступом Cisco ACS
Експерти виявили критично небезпечну вразливість у веб-інтерфейсі популярного сервера управління доступом Cisco ACS
Зловмисник може отримати доступ до облікових даних привілейованих користувачів корпоративної мережі та атакувати внутрішні ресурси.
Експерти Positive Technologies виявили критично небезпечну вразливість у веб-інтерфейсі популярного сервера керування доступом Cisco ACS. Недолік безпеки дозволяє неавторизованому атакуючому виконувати довільні команди на сервері від імені привілейованого користувача.
Уразливість CVE-2018-0253 отримала оцінку 9,8 бала за шкалою CVSS v. 3.0 що означає критичний рівень небезпеки. Якщо зловмисник вже перебуває у внутрішній мережі, він може змінювати чи збирати облікові дані користувачів мережевих пристроїв, атакувати інші ресурси внутрішньої мережі чи проводити атаки «людина посередині». Якщо ж веб-інтерфейс Cisco ACS доступний із зовнішньої мережі, ці дії можуть проводитися з будь-якої точки світу.
При інтеграції Cisco ACS з Microsoft Active Directory, що трапляється дуже часто, атакуючий може вкрасти обліковий запис адміністратора домену, а за менш сприятливих умов (без інтеграції з Active Directory) — отримати контроль над роутерами та міжмережевими екранами для прослуховування трафіку всієї мережі (включаючи конфіденційні дані) або доступ до закритих сегментів мережі, наприклад, процесингу в банку.
Проблема пов'язана з некоректною обробкою повідомлень протоколу AMF3 на сервері. У складі повідомлення AMF3 зловмисник може передати спеціально підготовлений об'єкт Java в серіалізованому вигляді. При десеріалізації цього об'єкта сервер завантажить шкідливий код джерела, зазначеного порушником, та виконає його.
Уразливості піддаються версії Cisco ACS, випущені до v5.8.0.32.7 (авторизація не потрібна), а також v5.8.0.32.7 та v5.8.0.32.8 (потрібна авторизація). Для усунення проблеми виробник рекомендує оновити сервер до версії 5.8.0.32.9 або пізнішої.
Для виявлення дій зловмисників компанія Positive Technologies пропонує використовувати систему керування подіями інформаційної безпеки MaxPatrol SIEM. У квітні MaxPatrol SIEM було додано 26 нових правил виявлення інцидентів в Active Directory; служби каталогів Microsoft часто тісно інтегровані з Cisco ACS у корпоративних мережах і нерідко є головною метою атак. Додатково для захисту від кібератак з використанням цієї вразливості може застосовуватися міжмережевий екран прикладного рівня PT Application Firewall, в якому реалізовано захист від атак, пов'язаних з десеріалізацією в Java, та підтримка протоколу AMF.
