Компания Cisco исправила уязвимость переполнения кучи (CVE-2022-20737, 8,5 балла по шкале CVSS 3.0) в Cisco Adaptive Security Appliance (ASA), обнаруженную исследователем Positive Technologies Никитой Абрамовым. Баг позволял аутентифицированному злоумышленнику вызвать состояние отказа в обслуживании (DoS) на уязвимом устройстве или получить доступ к его памяти, которая могла содержать конфиденциальную информацию.
«Если у атакующего имеется доступ к клиентскому средству удаленного доступа SSL VPN, встроенному в Cisco ASA, то он может использовать это средство для формирования специального типа запросов и их дальнейшей отправки на подконтрольный злоумышленнику сайт. Определенная последовательность таких запросов может привести к утечке содержимого памяти Cisco ASA, которая, в свою очередь, может содержать конфиденциальные данные, например куки или сессии активных пользователей, часть конфигурационных данных, имена пользователей и их пароли и многое другое. С помощью такой информации можно, например, попасть в другую подсеть или даже получить доступ к панели администратора. Уязвимость также позволяет вызвать сбой в работе Cisco ASA, деактивировав, в частности, средство удаленного доступа для всех пользователей межсетевого экрана», — рассказывает Никита Абрамов.
Это не первая уязвимость в Cisco ASA, опасная для корпоративных сетей. В мае 2020 года число устройств, доступных из интернета и уязвимых к другой ошибке в Cisco ASA (CVE-2020-3187), которая позволяла за минуту отключить VPN или перехватить идентификатор пользователя для доступа во внутреннюю сеть, оценивалось в 220 000. Почти половина из них находились в США (47%), далее следовали Великобритания (6%), Германия и Канада (по 4%), Япония и Россия (по 2%).
Описание этой уязвимости и способов ее устранения вошли в регулярный шестимесячный пакет рекомендаций компании Cisco от 27 апреля 2022 года, касающийся безопасности программного обеспечения Cisco ASA, FMC и FTD. Пакет включает 17 рекомендаций для 19 уязвимостей в Cisco ASA, FMC и FTD.