Βackdoor στο WebVPN της Cisco επιτρέπει την κλοπή απόρρητων εταιρικών πληροφοριών και κωδικών πρόσβασης
Η web-based υπηρεσία VPN της Cisco δέχτηκε ένα ισχυρό πλήγμα μετά την αποκάλυψη ερευνητών ασφάλειας της Volexity για την ύπαρξη τουλάχιστον δύο μεθόδων εγκατάστασης backdoors στην υπηρεσία, που μπορούν να αξιοποιηθούν για την υποκλοπή κωδικών εταιρικών λογαριασμών, κατά τη σύνδεση του προσωπικού στα account τους.
Τα backdoors φορτώνονται μέσα από διάφορα τμήματα κώδικα JavaScript που φορτώνονται στην υπηρεσία ASA WebVPN της Cisco, και αξιοποιούνται για την πραγματοποίηση επιθέσεων XSS στη σελίδα logon.html, εκεί όπου οι εταιρικοί χρήστες εισάγουν τα username και τα password τους.
Οι επιτιθέμενοι εκμεταλλεύονται την ευπάθεια CVE-2014-3393 για να φορτώσουν τα κακόβουλα JavaScript snippets, και στη συνέχεια τροποποιούν τη σελίδα σύνδεσης, έτσι ώστε να μπορούν να καταγράφουν οτιδήποτε πληκτρολογoύν οι χρήστες στα πεδία σύνδεσης.
Μπορεί η συγκεκριμένη ευπάθεια να έχει καθοριστεί από το Φεβρουάριο του 2015, ωστόσο πολλές είναι οι εταιρείες που δεν έχουν προβεί στις απαραίτητες ενημερώσεις στις υπηρεσίες και τον εξοπλισμό τους, επιτρέποντας με τον τρόπο αυτό στους επιτιθέμενους να αξιοποιούν ακόμη την συγκεκριμένη μέθοδο επίθεσης.
Το backdoor εγκαθίσταται μέσω ΗΤΤPS-protected αρχείων JavaScript
Όπως εξηγούν οι ερευνητές της Volexity, το JavaScript snippet που χρησιμοποιείται για την εκτέλεση των επιθέσεων XSS και την καταγραφή των διαπιστευτηρίων σύνδεσης δεν είναι περίπλοκο, αντιθέτως έχει ληφθεί από μια δημόσια script-sharing ιστοσελίδα του διαδικτύου. Ωστόσο, αυτό που κάνει δύσκολο τον εντοπισμό του είναι το γεγονός ότι το αρχείο JavaScript καλύπτεται μέσω κρυπτογραφημένης σύνδεσης και φορτώνεται μέσω HTTPS.
Οι ερευνητές ασφάλειας προειδοποιούν ότι το backdoor αξιοποιείται ακόμη ενεργά, στοχεύοντας μη κυβερνητικές οργανώσεις και επιχειρήσεις του εκπαιδευτικού, κατασκευαστικού, ιατρικού & φαρμακευτικού τομέα.
