Cisco: Sikkerhedsenheder er sårbare

Af Eskil Sørensen, 24/08/21

Cisco-enheder påvirket af 'SNIcat-teknikken', opdaget af et norsk sikkerhedsfirma.

Leverandør af udstyr til netværk, Cisco, oplyser, at nogle af dets sikkerhedsprodukter ikke kan registrere og stoppe trafik til ondsindede servere, der misbruger en teknik kaldet SNIcat til at stjæle data fra virksomhedernes netværk. Det skriver The Record.

Dermed er Cisco den fjerde store leverandør af netværkssikkerhed - F5 Networks, Fortinet og Palo Alto Networks var de første – der formelt indrømmer, at dets enheder kan omgås ved hjælp af SNIcat-teknikken.

De berørte sikkerhedsprodukter er følgende:

  • Cisco firewalls, der kører FTD-software (Firepower Threat Defense)
  • Enheder, der kører WSA -modulerne (Web Security Appliance)
  • Alle ISA3000-firewalls (Industrial Security Appliance).

Hvad er SNIcat?

SNIcat er en dataeksfiltrationsteknik, der er opdaget af det norske sikkerhedsfirma mnemonic. Det blev første gang kendt i offentligheden i august 2020 og er således en relativt nyopdaget teknik. Den udnytter det faktum, at mange enheder til netværkssikkerhed tjekker brugertrafik mod deres bloklister.

Dette sker, efter at brugerens enhed har udvekslet et såkaldt TLS-handshake’. Et TLS-handshake er en række af meddelelser, der udveksles mellem en klient og en server. Det involverer flere trin, eftersom klienten og serveren udveksler en række oplysninger, der er nødvendige for at fuldføre håndtrykket og muliggøre yderligere kommunikation.

I denne kontekst udviklede mnemonic et simpelt proof-of-concept Python-script, der ville tage følsomme oplysninger fra en kompromitteret computer og skjule dem inde i TLS Client Hello-pakken. Denne ’Hello-pakke’ udveksles i begyndelsen af ​​et TLS-håndtryk, og før brugerens forbindelse kontrolleres for mulig mistænkelig trafik. Dvs. at den udnytter det sårbare moment, der findes i indledningen af kommunikation, og dette før kontrolmekanismerne sættes ind.

The Record skriver, at Cisco i øjeblikket undersøger hvilke af virksomhedens modeller der er omfattet af sårbarheden. Det forventes at der udsendes patches til håndtering af sårbarhederne.

Artiklen i The Record har indlejret et link til en 25 minutters præsentation af, hvordan SNIcat-teknikken fungerer. Præsentationen stammer fra Black Hat Europa-konferencen i 2020.

Links:

https://therecord.media/cisco-security-devices-are-vulnerable-to-snicat-data-exfiltration-technique/