安全產(chǎn)品并非萬無一失 黑客可繞過思科安全產(chǎn)品進(jìn)行數(shù)據(jù)盜竊攻擊

思科表示，未經(jīng)身份驗(yàn)證的攻擊者可以繞過多個(gè)產(chǎn)品中的TLS檢查過濾技術(shù)，從客戶網(wǎng)絡(luò)內(nèi)先前受到攻擊的服務(wù)器中竊取數(shù)據(jù)。

在此類攻擊中，威脅參與者可以利用服務(wù)器名稱識(shí)別(SNI)請(qǐng)求過濾中的漏洞，影響3000系列工業(yè)安全設(shè)備(isa)、火力威脅防御(FTD)和Web安全設(shè)備(WSA)產(chǎn)品。

思科解釋說:“使用SNIcat或類似工具，遠(yuǎn)程攻擊者可以從SSL客戶端hello包中竊取數(shù)據(jù)，因?yàn)閬碜员黄帘瘟斜碇械姆?wù)器的返回服務(wù)器hello包沒有被過濾?！?/p>

“這種通信可用于對(duì)受損主機(jī)執(zhí)行命令和控制攻擊，或執(zhí)行額外的數(shù)據(jù)外流攻擊。”

到目前為止，思科產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì) (PSIRT) 尚未發(fā)現(xiàn)攻擊者或惡意軟件在野外利用此安全漏洞。

利用TLS進(jìn)行秘密數(shù)據(jù)外泄

SNIcat(服務(wù)器名稱指示連接器)是助記實(shí)驗(yàn)室安全研究人員發(fā)現(xiàn)的一種隱蔽滲漏方法，可通過TLS客戶端Hello數(shù)據(jù)包繞過安全邊界解決方案和TLS檢測(cè)設(shè)備(例如，如web代理、下一代防火墻(NGFW))。

研究人員表示:“通過使用我們的SNIcat外滲方法，我們發(fā)現(xiàn)我們可以繞過執(zhí)行TLS檢測(cè)的安全解決方案，即使我們使用的指揮與控制(C2)域被安全解決方案本身內(nèi)置的常見聲譽(yù)和威脅預(yù)防功能所阻止?！?/p>

“簡(jiǎn)而言之，我們發(fā)現(xiàn)旨在保護(hù)用戶的解決方案，給他們帶來了一個(gè)新的漏洞?！?/p>

除了思科，助記實(shí)驗(yàn)室已經(jīng)成功測(cè)試了SNIcat對(duì)F5網(wǎng)絡(luò)(F5 BIG-IP運(yùn)行TMOS 14.1.2，使用SSL Orchestrator 5.5.8)， Palo Alto網(wǎng)絡(luò)(Palo Alto NGFW運(yùn)行PAN-OS 9.1.1)和Fortinet (Fortigate NGFW運(yùn)行FortiOS 6.2.3)的產(chǎn)品。

研究人員還開發(fā)了一種概念驗(yàn)證工具，通過SNI的秘密通道，利用被竊主機(jī)上的一名特工和收集被竊數(shù)據(jù)的命令和控制服務(wù)器，幫助從之前被黑的服務(wù)器中提取數(shù)據(jù)。

思科表示，目前正在調(diào)查其產(chǎn)品線，以確定哪些產(chǎn)品可能受此漏洞影響。

隨著軟件技術(shù)的不斷更新和發(fā)展，安全產(chǎn)品出現(xiàn)漏洞已不是新鮮話題。可想而知，通過帶有安全漏洞的產(chǎn)品對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行防御同樣存在危險(xiǎn)，這些安全漏洞也增加了網(wǎng)絡(luò)受攻擊面。網(wǎng)絡(luò)安全無小事，黑客的攻擊手段不斷更新和發(fā)展，僅通過傳統(tǒng)殺毒軟件、安全防御硬件等無法實(shí)現(xiàn)全面安全防護(hù)。90%的網(wǎng)絡(luò)攻擊事件都與安全漏洞有關(guān)，但有多少企業(yè)關(guān)注過自身軟件的安全問題?加強(qiáng)網(wǎng)絡(luò)及軟件安全防御，更應(yīng)提高軟件自身安全性，目前如靜態(tài)代碼檢測(cè)、SCA、動(dòng)態(tài)應(yīng)用安全測(cè)試等自動(dòng)化工具可以實(shí)現(xiàn)對(duì)軟件安全漏洞的檢測(cè)與查找，便于第一時(shí)間進(jìn)行修改調(diào)整，也有利于降低企業(yè)遭遇網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.bleepingcomputer.com/news/security/hackers-can-bypass-cisco-security-products-in-data-theft-attacks/