Уязвимость в Cisco ACS

По сообщению компании Positive Technologies, ее эксперты обнаружили опасную уязвимость в Web-интерфейсе сервера управления доступом Cisco ACS. Она позволяет неавторизованному атакующему выполнять произвольные команды на сервере от лица привилегированного пользователя.

Уязвимость CVE-2018-0253 получила оценку 9,8 балла по шкале CVSS v. 3.0, что означает критический уровень опасности. Если злоумышленник уже находится во внутренней сети, то он может изменять или собирать учетные данные пользователей сетевых устройств, атаковать другие ресурсы внутренней сети или проводить атаки «человек посередине». Если же Web-интерфейс Cisco ACS доступен из внешней сети, то эти действия могут проводиться из любой точки мира. Как отмечают специалисты, при интеграции Cisco ACS с Microsoft Active Directory атакующий может украсть учетную запись администратора домена, а в отсутствие интеграции – получить контроль над роутерами и межсетевым экранами для прослушивания трафика всей сети (включая конфиденциальные данные) или доступ к закрытым сегментам сети, например процессингу в банке.

Проблема связана с некорректной обработкой сообщений протокола AMF3 на сервере. В составе сообщения AMF3 злоумышленник может передать специально подготовленный Java-объект в сериализованном виде . При десериализации этого объекта сервер загрузит вредоносный код из источника, указанного нарушителем, и выполнит его. Уязвимости подвержены версии Cisco ACS, выпущенные до v5.8.0.32.7 (авторизация не требуется), а также v5.8.0.32.7 и v5.8.0.32.8 (требуется авторизация). Для устранения проблемы производитель рекомендует обновить сервер до версии 5.8.0.32.9 или более поздней.