En un reciente reporte de seguridad, Cisco reveló que un grupo de actores de amenazas no autenticados podría evadir los mecanismos de inspección TLS en diversos productos con el fin de extraer información de las redes afectadas. En tales ataques, los actores de amenazas pueden explotar una vulnerabilidad en el filtrado de solicitudes de Server Name Identification (SNI) que afecta a los productos Industrial Security Appliance (ISA) de la serie 3000, Firepower Threat Defense (FTD) y Web Security Appliance (WSA).
Según el reporte, empleando Server Name Indication Concatenator (SNIcat) o una herramienta similar, un hacker remoto puede filtrar datos en un paquete de saludo de cliente SSL porque el paquete de saludo del servidor de retorno de un servidor en la lista de bloqueados no se filtra: “Esta comunicación se puede utilizar para ejecutar un ataque de comando y control en un host comprometido”, señala el reporte.
SNIcat es un método de exfiltración sigiloso que evade las soluciones de perímetro de seguridad y los dispositivos de inspección TLS a través de paquetes TLS Client Hello: “Empleando SINcat, es posible evadir una solución de seguridad que realiza la inspección TLS, incluso cuando el comando C&C está bloqueado por características comunes de reputación y prevención de amenazas”, señala el reporte.
Los investigadores de Cisco probaron estas fallas en algunas soluciones desarrolladas por F5 Networks (F5 BIG-IP con TMOS 14.1.2, con SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW con PAN-OS 9.1.1) y Fortinet (Fortigate NGFW con FortiOS 6.2.3).
Los investigadores también desarrollaron una prueba de concepto (PoC) que ayuda a extraer datos de servidores comprometidos a través de un canal encubierto SNI, utilizando un agente en el host comprometido y un servidor de comando y control que recopila los datos extraídos. La compañía señala que se están investigando los productos afectados para determinar el grado de severidad de esta falla.
La buena noticia es que Cisco no tiene evidencia de incidentes de ataque reales, por lo que se cree que el riesgo de explotación es realmente reducido.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.