Для тех, кто пропустил увлекательный доклад с недавнего
BlackHat и
DEFCON от представителей
Rapid7 про их исследования ПО для
Cisco ASA.
В текущих реалиях, когда многие остались отрезанными от обновлений и подписок, готовы скачивать различные кряки, образа и клиенты для администрирования штата своих Cisco, такая тема кажется более чем актуальна.
Если опустить рассказ про то, как Cisco выпустила патч не закрывающий зарепорченную уязвимость, то основные темы доклада всего две:
– Установка вредоносного программного обеспечения для ASA и простые способы внедрения бекдоров в ПО администрирования Cisco ASDM.
– Создание вредоносных установочных пакетов и загрузочных образов для модуля FirePOWER. Там вообще забавная история с очень сложными кредами root:cisco123 для рутового пользователя в образах FirePOWER, которые в большинстве инсталляций имеют доступ ко всему трафику.
По сути весь доклад про то как вредоносные пакеты могут оказаться на ваших ASA, а также полный инструментарий со скриптами и модулями для метасплоита. Все как полагается.
Из рекомендаций по устранению — это конечно же максимальная изоляция административного доступа до цисок, обновление дистрибутивов ПО (что для многих сейчас проблематично) и несколько YARA правил на детект эксплоитов и вредоносных пакетов.
read > https://www.rapid7.com/blog/post/2022/08/11/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software/
repo with materials > https://github.com/jbaines-r7/cisco_asa_research
