ネットワーク機器ベンダーのCisco社は、Ciscoのセキュリティ製品の一部が、SNIcatと呼ばれる技術を悪用して企業ネットワーク内のデータを秘密裏に盗み出す悪意のあるサーバーへのトラフィックを検知・阻止できないことを発表しました。
対象となるのは、FTD(Firepower Threat Defense)ソフトウェアを搭載したシスコ社製のファイアウォール、WSA(Web Security Appliance)モジュールを搭載した機器、およびすべてのISA3000(Industrial Security Appliance)ファイアウォールとなります
ニーモニックのMorten MarstranderとAlvaro Gutierrezが、Cisco WSAでのSNIcatのテストに成功しました。Ciscoはアドバイザリーを公開し、WSA、FTD、ISA、Snortの一部のバージョンなど、複数の製品にSNIcatの脆弱性があるとしています。
SNIcatとは
SNIcatは、2020年8月に初めて公開されたノルウェーのセキュリティ企業mnemonic社が発見したデータ流出手法です。
mnemonic社は、多くの一般的なネットワークセキュリティデバイスのトラフィック処理プロセスが、ユーザーのデバイスがTLSハンドシェイクを行った後にユーザーのトラフィックがブロックリストと照合していることを発見しました。
SNIcatは、TLSハンドシェイクの最初に行われるTLS Client Helloパケットの中に機密情報を隠し、不審なトラフィックの可能性がないかどうかユーザーの接続がチェックされる前に、機密情報を取得するというものです。
mnemonic社は、自由に使えるリソースが限られていたため、SNIcatの流出をテストできたのは一握りの機器に限られていたと述べていますが、より多くのベンダーもこの技術が使用できる可能性が高いと述べています。
Cisco社は、F5 Networks社、Fortinet社、Palo Alto Networks社に続き、4社目の主要ネットワークセキュリティベンダーとして、SNIcatの技術を利用して自社の機器を迂回できてしまうことを正式に認めました。
Check Point社は、同社の機器には脆弱性がないと述べています。
Cisco社では、現在、他のいくつかの機種について調査を行っておりパッチや検知ルールの公開を予定しています。
SNIcat技術の詳細については、ニーモニックチームがセキュリティカンファレンス「Black Hat Europe 2020」で調査結果を発表している下記の動画でもご覧いただけます。
Comments