查看原文
其他

思科称其安全设备易受 SNIcat 数据渗透攻击

Catalin Cimpanu 代码卫士 2022-06-13

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


思科表示该的某些安全产品未能检测并阻止流量进入恶意服务器,导致攻击者滥用 SNIcat 技术从企业网络窃取数据。


受影响设备包括运行 FTD (Firepower Threat Defense) 软件的思科防火墙、运行 WSA 模块的设备以及所有 ISA3000 防火墙。



SNIcat 技术简介


SNIcat 技术首次披露于2020年8月,它是由挪威安全公司 Mnemonic 发现的一种数据渗透技术。具体来讲,研究员发现很多流行的网络安全设备在用户的设备谈判一次TLS握手后,会对照拦截清单检查用户流量。

据此,研究员开发了一个简单的 PoC python 脚本,可从受陷计算机中提取敏感信息并将其隐藏在 TLS Client Hello 数据包中,该数据包在 TLS 握手开始时交换,且在检查用户连接是否存在可能的可疑流量前交换。



其它厂商或易受攻击


去年,研究人员表示由于可用资源有限,因此只能测试少数设备是否易受 SNIcat 数据渗透攻击;他们认为更多厂商也可能未意识到该攻击的存在。

目前,思科已成为继F5 Networks、Fortinet 以及 Palo Alto Networks 之后的第四大主流网络安全厂商,该公司证实称其设备可被 SNIcat 技术绕过。

Check Point 公司表示其设备并不易受攻击。

目前,思科正在调查其它设备型号,有望发布补丁和检测规则。该公司将在官方安全公告中提供相关更新。

欧洲2020年黑帽大会曾详述了 SNIcat 攻击技术。






推荐阅读
美国发布新的安全备忘录,提升关键基础设施的网络安全
速升级!SonicWall 3个已遭利用的严重0day 影响企业邮件安全设备
Mirai 新变体利用严重漏洞攻击网络安全设备





原文链接

https://therecord.media/cisco-security-devices-are-vulnerable-to-snicat-data-exfiltration-technique/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存