Cisco: Les pirates peuvent contourner les produits de sécurité lors d’attaques de vol de données

0

Cisco a déclaré que des attaquants non authentifiés pourraient contourner la technologie de filtrage d’inspection TLS dans plusieurs produits pour exfiltrer les données des serveurs précédemment compromis à l’intérieur des réseaux des clients.

Dans de telles attaques, les pirates informatiques peuvent exploiter une vulnérabilité dans le filtrage des demandes d’identification de nom de serveur (SNI) affectant les appliances de sécurité industrielle (ISA) de la série 3000, les produits Firepower Threat Defense (FTD) et Web Security Appliance (WSA).

« À l’aide de SNIcat ou d’un outil similaire, un attaquant distant peut exfiltrer des données dans un paquet Hello de client SSL car le paquet Hello de retour d’un serveur de la liste bloquée n’est pas filtré », a expliqué Cisco.

« Cette communication peut être utilisée pour exécuter une attaque de commande et de contrôle sur un hôte compromis ou pour effectuer des attaques d’exfiltration de données supplémentaires. »

Jusqu’à présent, l’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’a pas connaissance d’attaquants ou de logiciels malveillants exploitant cette faille de sécurité à l’état sauvage.

Exfiltration furtive de données en abusant de TLS

SNIcat (Server Name Indication Concatenator) est une méthode d’exfiltration furtive découverte par les chercheurs en sécurité de mnemonic Labs qui contourne les solutions de périmètre de sécurité et les dispositifs d’inspection TLS (par exemple, les proxys Web, les pare-feu de nouvelle génération (NGFW) via les paquets TLS Client Hello.

« En utilisant notre méthode d’exfiltration SNIcat, nous avons découvert que nous pouvons contourner une solution de sécurité effectuant une inspection TLS, même lorsque le domaine Command & Control (C2) que nous utilisons est bloqué par des fonctionnalités communes de réputation et de prévention des menaces intégrées aux solutions de sécurité elles-mêmes, » selon les chercheurs.

« En bref, nous avons découvert que les solutions conçues pour protéger les utilisateurs leur présentaient une nouvelle vulnérabilité. »

cisco snicat
Image: mnemonic Labs

En plus de Cisco, mnemonic Labs a testé avec succès SNIcat par rapport aux produits de F5 Networks (F5 BIG-IP exécutant TMOS 14.1.2, avec SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW exécutant PAN-OS 9.1.1) et Fortinet (Fortigate NGFW exécutant FortiOS 6.2.3).

Les chercheurs ont également développé un outil de preuve de concept qui permet d’extraire des données de serveurs précédemment piratés via un canal secret SNI, en utilisant un agent sur l’hôte compromis et un serveur de commande et de contrôle qui collecte les données exfiltrées.

« Cisco étudie sa gamme de produits pour déterminer quels produits peuvent être affectés par cette vulnérabilité », a ajouté Cisco.

« Au fur et à mesure que l’enquête progresse, Cisco mettra à jour cet avis avec des informations sur les produits concernés. »

Laisser un commentaire