Cisco ISA/FTD/WSA をバイパスするデータ侵害が発見された

Hackers can bypass Cisco security products in data theft attacks

2021/08/19 BleepingComputer — Cisco によると、認証されていない攻撃者が、複数の製品に搭載されている TLS Inspection フィルタリング技術を回避することで、顧客のネットワーク内にある脆弱化されたサーバーから、データが流出するさ可能性があるとのことだ。この攻撃は、脅威アクターが SNI (Server Name Identification) リクエスト・フィルタリングの脆弱性を悪用することに起因し、3000 Series Industrial Security Appliances (ISAs) および、Firepower Threat Defense (FTD)、Web Security Appliance (WSA) に影響が生じる可能性がある。

Cisco の説明によると「この問題は、ブロック・リストに登録されているサーバーからの、Return Server Hello パケットがフィルタリングされていないため、SNIcat または類似のツールを使用して、リモートの攻撃者が SSL Client Hello パケット内のデータを流出させることが可能になる。この通信を悪用することで、侵害されたホスト上での Command&Control (C2) 攻撃や、さらなるデータ流出攻撃が生じる恐れがある」とのことだ。現時点において、Cisco Product Security Incident Response Team (PSIRT) は、このセキュリティ欠陥を悪用する、攻撃者やマルウェアの存在を認識していないとしている。

TLS を悪用したステルス型のデータ窃取

SNIcat (Server Name Indication Concatenator) とは、mnemonic Labs のセキュリティ研究者たちが発見したステルス型のデータ流出手法であり、TLS Client Hello パケットを介して、セキュリティ境界ソリューションや TLS Inspection デバイス (Web Peoxy / NGFW) などを回避するものだ。研究者たちは、「私たちの抽出方法 SNIcat を用いることで、使用する Command&Control (C2) ドメインが、セキュリティ・ソリューション自体に組み込まれている、一般的なレピュテーションと脅威防止機能によりブロックされている場合でも、TLS Inspection を実行するセキュリティ・ソリューションをバイパスできることが分かった。それにより、ユーザーを保護するために設計されたソリューションが、ユーザーに新たな脆弱性をもたらしていることが判明した」と述べている。

mnemonic Labs は、Cisco 以外のケースにおいても、F5 Networks (F5 BIG-IP running TMOS 14.1.2, with SSL Orchestrator 5.5.8) や、Palo Alto Networks (Palo Alto NGFW running PAN-OS 9.1.1)、Fortinet (Fortigate NGFW running FortiOS 6.2.3) などの製品で、SNIcat のテストに成功している。また、研究者たちは、SNI covert チャネルを介して事前にハッキングしたサーバーに対して、侵害されたホスト上のエージェントと、流出したデータを収集する C2 サーバーを使用することで、データを抽出するための PoC エクスプロイト・ツールを開発している。Cisco は、「この脆弱性の影響を受ける可能性のある製品を特定するために、自社製品を調査している。調査の進捗に応じて、影響を受ける製品に関する情報を、このアドバイザリに反映させる」と述べている。

文中のリンクからたどってみたら、Cisco アドバイザリの CVE-2021-34749 に行き当たりました。SNIcat に関する記載もあるので、ここで間違いないと思います。また、mnemonic Labs のほうでも、上記の CVE の他に CVE-2020-2035 と CVE-2020-15936、そして F5: CVE-2021-23007Palo Alto: CVE-2020-2035 も見つかりました。また、GitHub には PoC エクスプロイトもあります。どれも、CVSS スコアは Middle 程度ですが、気になる話ですね。

%d bloggers like this: