2021年9月27日,厂商发布了安全更新,修复了多款 Cisco 产品服务器中发现的数据泄露漏洞。以下为漏洞要点与处置建议。
[[[IMG_1]]]
漏洞要点
漏洞编号:CVE-2021-34749;CVSS 评分:5.8(中危)。未授权远程攻击者可能绕过受影响设备的网络信誉过滤与威胁检测机制,将数据从受感染主机泄露到被阻止的外部服务器。
该漏洞源于对 SSL/TLS 握手过程中的服务器名称指示(SNI)标头检查不足。攻击者可利用来自 TLS 客户端问候(ClientHello)数据包的信息,与被阻止的外部服务器建立通信,进而泄露数据。利用条件为攻击者需已经破坏网络内的受保护主机。
受影响的产品
以下产品在某些配置下可能受影响,特别是开启了 SSL/TLS 解密选项并且使用了 Web 信任或 URL 过滤功能的场景:
- 3000 系列 Industrial Security Appliances(ISA)
- 4000 系列 Integrated Services Routers(ISR,除 4321 之外)
- Catalyst 8000V Edge Software
- Catalyst 8200 系列 Edge platforms
- Catalyst 8300 系列 Edge platforms
- Cloud Services Router 1000V(CSR 1000V)
- Firepower Threat Defense(FTD)Software,若启用了 SSL/TLS 解密选项
- Integrated Services虚拟路由器(ISRv)
- Web Security Appliance(WSA),物理与虚拟设备,部署在透明模式
注:初始披露时的受影响范围基于相关产品的特定配置,实际影响需结合具体环境进行确认。
解决方案与处置建议
在考虑软件升级时,建议定期查阅安全建议页面,了解各自 Cisco 产品的建议升级路径、暴露情况与完整的修复方案。
攻击者可能通过使用 SNIcat 等工具,将敏感数据伪装在 TLS 客户端 Hello 数据包的 SNI 标头中,以规避某些保护机制。此次漏洞并未直接提供获取数据的通道;攻击者需先破坏网络中受保护的主机,才能进行数据收集与泄露。
该漏洞描述了一种绕过防护的技术,涉及对 Web 信任、URL 过滤与威胁检测的规避。没有单一、确定性的方法能识别所有数据泄露实例,因为攻击者可能混淆泄露数据并使用任意非恶意域名作为接收方。不过,相关方正推进扩展 Web 信任、URL 过滤与威胁检测功能以覆盖 SNI 社头场景。一旦有可用修复,将尽快更新部署。
同时,思科发布了对 SnoRt 规则集的 SID 为 58062 的检测规则,用于识别通过 SNIcat 工具执行的攻击。为提升防护效果,请将该规则的操作设置为 Block,确保全面覆盖。
更多漏洞信息及升级指南,请访问官方安全中心页面以获取最新公告及升级路径。查看升级与修复信息
