Cisco: Firewall Manager RCE Flaw adalah Zero-day, Patch Segera Tiba

  • Whatsapp
Cisco: Firewall Manager RCE Flaw adalah Zero-day, Patch Segera Tiba

 

Dalam pembaruan penasihat keamanan hari Kamis, Cisco mengungkapkan bahwa kerentanan eksekusi kode jarak jauh (RCE) yang ditemukan bulan lalu di Peluncur Adaptive Security Device Manager (ADSM) adalah cacat nol hari yang belum ditambal.
Cisco ADSM adalah manajer alat firewall yang mengontrol firewall Cisco Adaptive Security Appliance (ASA) dan klien AnyConnect Secure Mobility melalui antarmuka web.
Sesuai dengan saran yang diperbarui, “Pada saat publikasi, Cisco berencana untuk memperbaiki kerentanan ini di Cisco ASDM. Cisco belum merilis pembaruan perangkat lunak yang mengatasi kerentanan ini. Tidak ada solusi yang mengatasi kerentanan ini.”
Bisnis tersebut juga mengubah daftar versi perangkat lunak ADSM yang dikompromikan dari ‘9.16.1 dan sebelumnya’—seperti yang disebutkan dalam saran pertama—menjadi ‘7.16(1.150) dan sebelumnya’ dalam pembaruan terkini.
Verifikasi tanda tangan yang salah untuk kode yang dibagikan antara ASDM dan Peluncur menyebabkan cacat zero-day, yang dilacak sebagai CVE-2021-1585.
Dengan hak yang diberikan kepada Peluncur ASDM, eksploitasi yang berhasil dapat mengizinkan penyerang yang tidak diautentikasi untuk meluncurkan kode arbitrer dari jarak jauh pada sistem operasi target.
Seperti yang dijelaskan Cisco dalam penasihat yang diperbarui, “Seorang penyerang dapat mengeksploitasi kerentanan ini dengan memanfaatkan posisi man-in-the-middle di jaringan untuk mencegat lalu lintas antara Launcher dan ASDM dan kemudian menyuntikkan kode arbitrer.”
Eksploitasi yang berhasil mungkin mengharuskan penyerang melakukan serangan rekayasa sosial untuk membujuk pengguna agar memulai komunikasi dari Peluncur ke ASDM.
Lebih lanjut, menurut perusahaan, Tim Respons Insiden Keamanan Produk (PSIRT) tidak diberitahu tentang serangan proof-of-concept untuk zero-day atau pelaku ancaman yang menggunakannya di tempat terbuka.
Cisco menambal kerentanan zero-day berusia enam bulan (CVE-2020-3556) di perangkat lunak Cisco AnyConnect Secure Mobility Client VPN tiga bulan lalu, menggunakan kode eksploit proof-of-concept yang dapat diakses publik.
Sementara kode eksploitasi bukti konsep dapat diakses publik ketika masalah ditemukan, Cisco PSIRT juga mengatakan bahwa tidak ada indikasi eksploitasi liar.
Cisco melaporkan kerentanan zero-day pada November 2020, tanpa mengeluarkan patch keamanan apa pun untuk memperbaiki kelemahan mendasar, meskipun ia memang menawarkan teknik mitigasi untuk mengurangi permukaan serangan. Tidak ada eksploitasi aktif yang dilaporkan sebelum CVE-2020-3556 diperbaiki pada bulan Mei, kemungkinan besar karena pengaturan VPN default rentan terhadap serangan dan kerentanan hanya dapat dieksploitasi oleh penyerang lokal yang diautentikasi.
Namun, setelah Tim Serangan Positive Technologies mengungkapkan kerentanan proof-of-concept bulan lalu, penyerang menerkam kelemahan Cisco ASA (sebagian diperbaiki pada Oktober 2020 dan sepenuhnya diselesaikan pada April 2021).

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *