Il 29 gennaio Cisco ha pubblicato un documento evidenziando una pericolosa vulnerabilità nel Secure Sockets Layer (SSL) della funzionalità VPN del software Cisco Adaptive Security Appliance (ASA), una falla che potrebbe teoricamente consentire a un attacker di eseguire codice in remoto. Il problema riguarda gli utenti di dispositivi di questo marchio che usano software che supportano connessioni VPN ma anche firewall, appliance per la sicurezza e altri dispositivi configurati per sfruttare la tecnologia WebVPN per i tunnel VPN. Gli attacker, spiega ArsTechnica, possono potenzialmente ottenere accesso a reti protette o provocare reset hardware. Nel Common Vulnerability Scoring System la vulnerabilità è indicata come “Critica” con un punteggio di 10, il più alto sulla scala CVSS che classifica questo tipo di problemi.
Non è la prima volta che viene individuata una falla nel sistema Cisco VPN SSL clientless, noto come WebVPN per la sua interfaccia web accessibile attraverso un comune browser. Nel 2015 era stato individuato un attacco che permetteva di raccogliere le credenziali di accesso di ignari dipendenti mentre accedono alle risorse Web interne all’azienda, inclusi documenti condivisi su repository interni.
La nuova vulnerabilità scoperta dal ricercatore Cedric Halbronn di NCC Group è attuabile sfruttando multipli messaggi formattati in XML inviati all’interfaccia WebVPN di un dispositivo target, presentati come un tentativo di ripulire la memoria del sistema. Eseguendo più di una volta un comando per liberare una specifica zona di memoria, l’attacker provoca in qualche modo un “memory leak” (in consumo voluto di memoria dovuto alla mancata deallocazione dalla stessa), permettendo di scrivere comandi nei blocchi della memoria di sistema, volendo anche comandi che consentono di corrompere del tutto la memoria e provocare crash.
I dispositivi vulnerabili sono quelli di Cisco con la funzionalità WebVPN attiva e sono elencati sul sito di Arstechnica. L’azienda specializzata in apparati di networking ha rilasciato un aggiornamento ma per ottenere la patch gli utenti senza contratto di manutenzione devono mettersi in contatto con il Technical Assistance Center (TAC) di Cisco. Professionisti della sicurezza hanno lamentato lentezza da parte di Cisco nel risolvere il problema ma l’azienda nega spiegando di avere fornito la patch appena il problema è stato reso noto.
