Cisco может быть легко атакован

"Несколько уязвимостей в архитектуре Network Admission Control (NAC) компании Cisco Systems Inc. позволяют неавторизованным компьютерам представить самих себя как разрешенный элемент сети." – говорят исследователи безопасности из Германии.

Возможность использования уязвимости была продемонстрирована на недавней конференции Black Hat, прошедшей в Германии, Джоном Рочером (John Roecher) и Михаэлем Туманом (Michael Thumann), двумя исследователями, работающими на ERNW GmbH.

Технология NAC компании Cisco разработана для того, чтобы IT-управляющие могли устанавливать правила, запрещающие клиентским компьютерам доступ в сеть, если они не вписываются в определенную политику. Данная политика следит за тем, чтобы на компьютерах были установлены обновления антивирусных баз, правильно настроен firewall и за другими аспектами безопасности.

Cisco Trust Agent должен быть запущен на каждом клиентском компьютере и в процессе работы собирает информацию, необходимую для определения удовлетворяет ли компьютер политике безопасности или нет. В зависимости от информации, которую собирает Trust Agent сервер управления политикой решает, позволить ли компьютеру вход в сеть или же поместить его в карантинную зону.

Фундаментальной ошибкой Cisco является гарантированная возможность аутентификации с сервером большого количества устройств. "В принципе, данный факт позволяет любому соединиться с сервером, сказать дескать вот мой сервис пак, вот список установленный патчей, а вот текущие антивирусные базы, и запросить авторизации", – говорит Джон Рочер.

Второй ошибкой является невозможность проверить реально ли отражает информация от Trust Agent статус компьютера, а это даёт возможность послать поддельную информацию управляющему серверу.

Официальные представители Cisco не сразу прокомментировали факт наличия уязвимостей. Однако в сообщении, опубликованном на сайте Cisco говорится: "Метод атаки заключается в симулировании взаимодействия Cisco Trust Agent (CTA) и контролирующими устройствами сети". Таким образом, Cisco признало возможность фальсификации информации, относящейся к статусу устройства.