思科称其安全设备易受 SNIcat 数据渗透攻击
编译:代码卫士
受影响设备包括运行 FTD (Firepower Threat Defense) 软件的思科防火墙、运行 WSA 模块的设备以及所有 ISA3000 防火墙。
SNIcat 技术简介
SNIcat 技术首次披露于2020年8月,它是由挪威安全公司 Mnemonic 发现的一种数据渗透技术。具体来讲,研究员发现很多流行的网络安全设备在用户的设备谈判一次TLS握手后,会对照拦截清单检查用户流量。
据此,研究员开发了一个简单的 PoC python 脚本,可从受陷计算机中提取敏感信息并将其隐藏在 TLS Client Hello 数据包中,该数据包在 TLS 握手开始时交换,且在检查用户连接是否存在可能的可疑流量前交换。
其它厂商或易受攻击
去年,研究人员表示由于可用资源有限,因此只能测试少数设备是否易受 SNIcat 数据渗透攻击;他们认为更多厂商也可能未意识到该攻击的存在。
目前,思科已成为继F5 Networks、Fortinet 以及 Palo Alto Networks 之后的第四大主流网络安全厂商,该公司证实称其设备可被 SNIcat 技术绕过。
Check Point 公司表示其设备并不易受攻击。
目前,思科正在调查其它设备型号,有望发布补丁和检测规则。该公司将在官方安全公告中提供相关更新。
欧洲2020年黑帽大会曾详述了 SNIcat 攻击技术。
速升级!SonicWall 3个已遭利用的严重0day 影响企业邮件安全设备
Mirai 新变体利用严重漏洞攻击网络安全设备
https://therecord.media/cisco-security-devices-are-vulnerable-to-snicat-data-exfiltration-technique/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。