思科称其安全设备易受 SNIcat 数据渗透攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

受影响设备包括运行 FTD (Firepower Threat Defense) 软件的思科防火墙、运行 WSA 模块的设备以及所有 ISA3000 防火墙。

SNIcat 技术首次披露于2020年8月，它是由挪威安全公司 Mnemonic 发现的一种数据渗透技术。具体来讲，研究员发现很多流行的网络安全设备在用户的设备谈判一次TLS握手后，会对照拦截清单检查用户流量。

据此，研究员开发了一个简单的 PoC python 脚本，可从受陷计算机中提取敏感信息并将其隐藏在 TLS Client Hello 数据包中，该数据包在 TLS 握手开始时交换，且在检查用户连接是否存在可能的可疑流量前交换。

去年，研究人员表示由于可用资源有限，因此只能测试少数设备是否易受 SNIcat 数据渗透攻击；他们认为更多厂商也可能未意识到该攻击的存在。

目前，思科已成为继F5 Networks、Fortinet 以及 Palo Alto Networks 之后的第四大主流网络安全厂商，该公司证实称其设备可被 SNIcat 技术绕过。

Check Point 公司表示其设备并不易受攻击。

目前，思科正在调查其它设备型号，有望发布补丁和检测规则。该公司将在官方安全公告中提供相关更新。

欧洲2020年黑帽大会曾详述了 SNIcat 攻击技术。