9月27日,思科发布了安全更新,修复了多个Cisco产品服务器中发现的数据泄露漏洞。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sni-data-exfil-mFgzXqLN
CVE-2021-34749 CVSS评分:5.8 严重程度: 中
多个 Cisco 产品的Web过滤功能中存在一个漏洞,未经身份验证的远程攻击者可能会绕过受影响设备上的 Web信誉过滤器和威胁检测机制,并将数据从受感染主机泄露到被阻止的外部服务器。
此漏洞是由于对 SSL/TLS 握手中的服务器名称标识 (SNI) 标头检查不足造成的。攻击者可以通过使用来自 TLS 客户端hello数据包的数据与被阻止的外部服务器通信来利用此漏洞。成功的漏洞利用可用于从受保护的网络中窃取数据。攻击者必须破坏网络上的主机才能泄露敏感数据。
受影响产品
在发布时,此漏洞影响了早于版本 2.9.18 的所有开源 Snort 项目版本。
在发布时,如果以下 Cisco 产品配置了 SSL/TLS 解密选项并且还使用了 Web 信誉或 URL 过滤功能,则此漏洞会影响这些产品:
3000 Series Industrial Security Appliances (ISAs)
4000 Series Integrated Services Routers (ISRs) (except 4321 ISRs)
Catalyst 8000V Edge Software
Catalyst 8200 Series Edge Platforms
Catalyst 8300 Series Edge Platforms
Cloud Services Router 1000V Series (CSR 1000V)
Firepower Threat Defense (FTD) Software, if the SSL/TLS decryption option is enabled
Integrated Services Virtual Router (ISRv)
Web Security Appliance (WSA), both physical and virtual devices, deployed in transparent mode
解决方案
在考虑软件升级时,建议客户定期查阅Cisco 安全建议页面上提供的 Cisco 产品建议,以确定暴露情况和完整的升级解决方案。
使用SNIcat或类似工具,远程攻击者可以通过将敏感数据发送到任意服务器,将其隐藏在 TLS 客户端 hello 数据包的 SNI 标头中来利用此漏洞。该漏洞并没有为攻击者提供获取数据的途径;攻击者必须已经破坏了受保护网络中的主机以用于收集和泄露机密信息。
此漏洞描述了一种过滤器绕过技术,可用于规避基于 Web 信誉过滤器、URL 过滤和威胁检测的保护。没有一种简单且确定性的方法来识别数据泄露的每个实例,因为攻击者可能会混淆泄露的数据并使用任意的、非恶意的域作为接收者。但是,思科目前正在开发一种解决方案,将 Web 信誉、URL 过滤或威胁检查功能扩展到 SNI 标头。在目标服务器声誉不佳或已被管理员明确阻止的情况下,此修复程序将减轻这种攻击。一旦此解决方案可用,思科会立即进行更新。
同时,为了检测和缓解使用 SNIcat 工具执行的任何攻击,思科发布了 SID 为 58062 的 Snort 规则。为确保全面保护,该规则的操作应设置为Block。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
