9月27日,思科发布了一项安全更新,以修复在多个思科产品服务器中发现的数据泄露漏洞。以下是漏洞详细信息:
漏洞详细信息
CVE-2021-34749 CVSS得分:5.8严重程度:
几款思科产品的网页过滤功能存在漏洞。未经身份验证的远程攻击者可能会绕过受影响设备上的网络信誉过滤器和威胁检测机制,并将数据从受感染的主机泄漏到被阻止的外部服务器。
该漏洞是由于在SSL/TLS握手中对服务器名称标识标头检查不足造成的。攻击者可以通过使用来自TLS客户端的hello数据包中的数据与被阻止的外部服务器进行通信来利用此漏洞。成功利用可用于从受保护的网络中窃取数据。攻击者必须破坏网络上的主机才能泄露敏感数据。
受影响的产品。
在发布时,此漏洞影响了版本2.9.18之前的所有开源Snort项目版本。
在发布时,如果以下思科产品配置了SSL/TLS解密选项,并且还使用了网络信誉或网址过滤功能,则此漏洞会影响这些产品。
3000系列工业安全电器
4000系列集成服务路由器(4321 ISRs除外)
Catalyst 8000V边缘软件
Catalyst 8200系列边缘平台
Catalyst 8300系列边缘平台
云服务路由器1000V系列
火力威胁防御软件,如果启用了SSL/TLS解密选项
集成服务虚拟路由器
以透明模式部署的网络安全设备,包括物理设备和虚拟设备
解决办法
在考虑软件升级时,建议客户定期查看思科安全建议页面上提供的思科产品建议,以确定风险和完整的升级解决方案。
使用SNIcat或类似工具,远程攻击者可以通过向任何服务器发送敏感数据并将其隐藏在TLS客户端hello数据包的SNI报头中来利用此漏洞。该漏洞不允许攻击者访问数据;攻击者一定是为了收集和泄露机密信息而破坏了受保护网络中的主机。
此漏洞描述了一种过滤器绕过技术,可用于绕过基于网络信誉过滤器、网址过滤和威胁检测的保护。没有简单和确定的方法来识别数据泄漏的每个实例,因为攻击者可能会混淆泄漏的数据,并使用任意和非恶意的域作为接收者。然而,思科目前正在开发一种解决方案,将网络信誉、网址过滤或威胁检查功能扩展到SNI报头。如果目标服务器信誉不佳或被管理员明确阻止,此修复将减轻此攻击。思科将尽快更新该解决方案。
同时,为了检测和减轻任何使用SNIcat工具的攻击,思科发布了SID为58062的Snort规则。为确保全面保护,此规则的操作应设置为阻止。
营业执照公示信息