{"id":20140,"date":"2022-10-17T10:42:35","date_gmt":"2022-10-17T13:42:35","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20140"},"modified":"2022-10-17T10:42:35","modified_gmt":"2022-10-17T13:42:35","slug":"defcon30-cisco-updates-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/","title":{"rendered":"Atualiza\u00e7\u00f5es vulner\u00e1veis no software empresarial da Cisco"},"content":{"rendered":"<p>Entre as apresenta\u00e7\u00f5es da confer\u00eancia Black Hat 2022 de agosto, poucas foram de uso pr\u00e1tico para administradores de sistema e agentes de seguran\u00e7a. Uma exce\u00e7\u00e3o bem-vinda foi o relat\u00f3rio do pesquisador do Rapid7, Jacob Baines, que falou em detalhes sobre como ele analisou o software corporativo da Cisco e encontrou v\u00e1rias vulnerabilidades nele. As descobertas de Jacob est\u00e3o dispon\u00edveis em <a href=\"https:\/\/i.blackhat.com\/USA-22\/Thursday\/US-22-Baines-Do-Not-Trust-The-ASA-Trojans.pdf\" target=\"_blank\" rel=\"noopener nofollow\">slides<\/a>, bem como em um <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/08\/11\/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software\/\" target=\"_blank\" rel=\"noopener nofollow\">relat\u00f3rio<\/a> detalhado e tamb\u00e9m em um <a href=\"https:\/\/github.com\/jbaines-r7\/cisco_asa_research\" target=\"_blank\" rel=\"noopener nofollow\">conjunto<\/a> de utilit\u00e1rios no GitHub.<\/p>\n<p>Jacob encontrou 10 problemas que afetam o Cisco Adaptive Security Software, o Adaptive Security Device Manager e o Firepower Services Software for ASA. Essas solu\u00e7\u00f5es de software controlam uma variedade de sistemas Cisco para usu\u00e1rios corporativos, incluindo firewalls de hardware, solu\u00e7\u00f5es de seguran\u00e7a corporativa de ponta a ponta, entre outros. Sete desses problemas foram reconhecidos pela Cisco como vulnerabilidades, enquanto aos tr\u00eas restantes \u2013 de acordo com o fornecedor \u2013 n\u00e3o afetam a seguran\u00e7a. No momento da divulga\u00e7\u00e3o, duas das sete vulnerabilidades n\u00e3o haviam sido solucionadas \u2013 apesar do Rapid7 ter informado a Cisco em fevereiro\/mar\u00e7o de 2022 (outra supostamente foi resolvida mais tarde).<\/p>\n<h2>O que s\u00e3o essas vulnerabilidades?<\/h2>\n<p>Vamos dar uma olhada em duas das mais not\u00e1veis. A vulnerabilidade <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asa-asdm-sig-NPKvwDjm\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20829<\/a> est\u00e1 relacionada ao m\u00e9todo de entrega de atualiza\u00e7\u00e3o usado no software Cisco ASA. O bug \u00e9 bastante trivial: os pacotes bin\u00e1rios de atualiza\u00e7\u00e3o n\u00e3o s\u00e3o validados durante a instala\u00e7\u00e3o; n\u00e3o h\u00e1 verifica\u00e7\u00e3o de assinatura digital ou algo assim. Rapid7 mostrou como modificar pacotes bin\u00e1rios Cisco ASDM para executar c\u00f3digo arbitr\u00e1rio quando processado.<\/p>\n<p>A segunda vulnerabilidade digna de nota \u00e9 a <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asdm-rce-gqjShXW\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1585<\/a>. Foi <a href=\"https:\/\/gist.github.com\/mlashley\/7d2c16e91fe37c9ab3b2352615540025\" target=\"_blank\" rel=\"noopener nofollow\">descoberta<\/a> no final de 2020 pelo pesquisador Malcolm Lashley. Ele notou que, quando as atualiza\u00e7\u00f5es s\u00e3o entregues, o certificado necess\u00e1rio para estabelecer uma conex\u00e3o segura por meio de um handshake TLS \u00e9 processado incorretamente. Isso, por sua vez, permite que um invasor execute um ataque man-in-the-middle contra clientes Cisco \u2014 ou seja, substitua seu pr\u00f3prio recurso por uma fonte de atualiza\u00e7\u00e3o leg\u00edtima. Isso torna poss\u00edvel entregar e executar c\u00f3digo malicioso em vez de uma patch. Essa vulnerabilidade tem um hist\u00f3rico interessante: Malcolm Lashley a relatou \u00e0 Cisco em dezembro de 2020. Em julho de 2021, a Cisco divulgou detalhes da vulnerabilidade sem uma patch. Em julho de 2022, a vulnerabilidade foi marcada como resolvida no portal interno para clientes da empresa. Rapid7 mostrou que n\u00e3o era o caso: se havia uma corre\u00e7\u00e3o, n\u00e3o funcionava.<\/p>\n<p>Nem as outras vulnerabilidades podem ser descritas como triviais. Por exemplo, a <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asasfr-cmd-inject-PE4GfdG\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20828<\/a> pode ser usada para atacar um administrador de sistema por meio do acesso remoto. A demonstra\u00e7\u00e3o d\u00e1 um exemplo de como um invasor em potencial pode obter acesso total ao sistema digitando um \u00fanico comando. Al\u00e9m disso, Rapid7 descobriu que os m\u00f3dulos de inicializa\u00e7\u00e3o FirePOWER n\u00e3o s\u00e3o verificados. Isso significa que, se alguma vulnerabilidade for fechada no software, sempre ser\u00e1 poss\u00edvel reverter a imagem de inicializa\u00e7\u00e3o para uma vers\u00e3o anterior sem corre\u00e7\u00e3o. Apesar do potencial de usar esse downgrade em ataques reais, a Cisco nem mesmo considerou isso um problema de seguran\u00e7a.<\/p>\n<h2>Dificuldades de entrega de atualiza\u00e7\u00f5es<\/h2>\n<p>Essas vulnerabilidades mostram que, mesmo em software corporativo empacotado com solu\u00e7\u00f5es corporativas de ponta, o sistema de entrega de atualiza\u00e7\u00f5es tem sido insuficiente. N\u00e3o faz muito tempo, <a href=\"https:\/\/www.kaspersky.com.br\/blog\/defcon30-zoom-vulnerability\/20011\/\" target=\"_blank\" rel=\"noopener\">escrevemos<\/a> sobre um problema conceitualmente semelhante em um software de uso popular, o Zoom para dispositivos Apple. O processo de verifica\u00e7\u00e3o de atualiza\u00e7\u00e3o parecia bastante seguro: o acesso ao servidor era feito por meio de uma conex\u00e3o segura e o arquivo de atualiza\u00e7\u00e3o era assinado digitalmente. Mas o procedimento de verifica\u00e7\u00e3o de assinatura permitia que qualquer coisa fosse executada em vez de um arquivo execut\u00e1vel leg\u00edtimo \u2013 e com os mais altos privil\u00e9gios. H\u00e1 tamb\u00e9m um exemplo de \u201catualiza\u00e7\u00f5es maliciosas\u201d sendo usadas em ataques reais: em 2018, pesquisadores da Kaspersky <a href=\"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement-2\/14873\/\" target=\"_blank\" rel=\"noopener\">detectaram<\/a> esse m\u00e9todo no ataque Slingshot APT para comprometer roteadores Mikrotik.<\/p>\n<p>No caso da Cisco, a verifica\u00e7\u00e3o da assinatura digital das atualiza\u00e7\u00f5es de pacotes bin\u00e1rios ASDM nem precisou ser ignorada: ela simplesmente n\u00e3o existia (um mecanismo supostamente foi lan\u00e7ado em agosto de 2022, mas sua confiabilidade ainda n\u00e3o foi testada). Verdade seja dita, todos os ataques propostos pelos pesquisadores da Black Hat s\u00e3o bastante dif\u00edceis de realizar. Mas como poder\u00edamos estar falando de uma grande organiza\u00e7\u00e3o com muito a perder com ransomware de criptografia de arquivos ou roubo de segredos comerciais, o risco deve ser levado a s\u00e9rio.<\/p>\n<h2>O que fazer a respeito<\/h2>\n<p>Dadas as especificidades dessas vulnerabilidades, a principal recomenda\u00e7\u00e3o do pesquisador Rapid7 \u00e9 limitar, na medida do poss\u00edvel, o trabalho em modo administrador com acesso total. E isso n\u00e3o se refere apenas a ter altos privil\u00e9gios ao se conectar remotamente \u00e0 infraestrutura. H\u00e1 muitos exemplos que mostram que um hack \u00e9 poss\u00edvel mesmo com isolamento offline m\u00e1ximo \u2014 por meio de atualiza\u00e7\u00f5es maliciosas ou um script simples que explora uma vulnerabilidade de software. O monitoramento cuidadoso daqueles indiv\u00edduos com acesso total \u00e0 infraestrutura e tamb\u00e9m a limita\u00e7\u00e3o das a\u00e7\u00f5es executadas como administrador ajudar\u00e3o a reduzir a chance de um ataque bem-sucedido. Mas o risco n\u00e3o ser\u00e1 totalmente eliminado\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Como at\u00e9 mesmo solu\u00e7\u00f5es de ponta para neg\u00f3cios podem ter bugs \u201cinfantis\u201d em seus sistemas de entrega de atualiza\u00e7\u00f5es.<\/p>\n","protected":false},"author":2411,"featured_media":20141,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[331,1643,267],"class_list":{"0":"post-20140","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-atualizacoes","11":"tag-def-con","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-cisco-updates-vulnerabilities\/24737\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/20208\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/27211\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-cisco-updates-vulnerabilities\/25065\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-cisco-updates-vulnerabilities\/11097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/45718\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-cisco-updates-vulnerabilities\/31112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-cisco-updates-vulnerabilities\/30802\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20140"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20140\/revisions"}],"predecessor-version":[{"id":20143,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20140\/revisions\/20143"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20141"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}