Эксперту по безопасности пришлось выложить в общий доступ PoC-эксплойт к дюжине критических уязвимостей в Cisco Security Manager, и только после этого Cisco опубликовала необходимые бюллетени. Исправлены ли сами уязвимости, вопрос спорный.
120 дней спустя
Корпорация Cisco опубликовала сразу несколько бюллетеней безопасности и патчей к уязвимостям в Cisco Security Manager. Большая часть этих багов, судя по всему, были обнаружены более четырех месяцев назад одним и тем же экспертом по безопасности. Соответствующие бюллетени вышли только после того, как он опубликовал PoC-эксплойты к ним.
Уязвимости допускают загрузку и скачивание произвольных файлов с максимальными привилегиями (NTAuthoritySystem), так что злоумышленник получает доступ к любым файлам в произвольном каталоге.
«120 дней назад я проинформировал Cisco о 12 уязвимостях в веб-интерфейсе Cisco Security Manager. Все можно эксплуатировать без авторизации, почти все прямо обеспечивают возможность запуска произвольного кода», — написал в Twitterэксперт по информационной безопасности Флориан Хаузер (Florian Hauser), сотрудник фирмы Code White. По его словам, подразделение, отвечающее за безопасность продуктов Cisco, перестало реагировать на сообщения Хаузера, а в последнем обновлении 4.22 ни одна из тех уязвимостей не упомянута. Поэтому он опубликовал на GitHub сразу 12 экспериментальных эксплойтов.
В своей публикации на GitHub Хаузер пояснил, что Cisco получила информацию о нескольких багах еще 13 июля 2020 г., после чего было заявлено, что они исправлены в версии 4.22, вышедшей 10 ноября. Однако в пояснениях к обновлению описаний этих уязвимостей не приводится, и никаких бюллетеней компания не выпускала.
Cisco опубликовала бюллетени об уязвимости лишь через 120 дней после их обнаружения
Позднее Хаузер написал, что работники Cisco связались с ним для обсуждения сложившейся ситуации и пояснили, что на самом деле «недостающие» обновления все-таки в версии 4.22 реализованы, но требуют дополнительного тестирования. Так что в ближайшие недели будет выпущен сервис-пак.
Десериализация как улика
Cisco также опубликовала недостающие бюллетени, в которых указывается, что речь идет об ошибках, связанных с функцией десериализации в Java, используемой в CiscoSecurityManager. Небезопасная десериализация контента, исходящего от пользователей, приводит к тому, что злоумышленнику достаточно отправить специально подготовленный сериализованный объект Java на уязвимую систему, и это откроет возможности для запуска произвольных команд с максимальными привилегиями.
Все необходимые обновления (по крайней мере, в их конечной форме) выйдут в версии 4.23. В Cisco заявили также, что не располагают сведениями о практической злонамеренной эксплуатации указанных уязвимостей.
«Среди этических хакеров действует негласное правило: разработчику уязвимого ПО дается 90 дней на то, чтобы выпустить исправления, и только после этого информация о проблеме становится публичной. Хаузер воздерживался от публикации еще более месяца сверх этого срока, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, вероятнее всего, речь идет о недостатках коммуникации, а не о том, что в Cisco действительно четыре месяца игнорировали критические уязвимости, пока информация о них не стала публичной. Остается надеяться, что все исправления появятся уже в ближайшие недели, а не еще через несколько месяцев».
