SNIcat позволяет похищать данные из корпоративных сетей в обход устройств безопасности Cisco, F5 Networks, Fortinet и Palo Alto Networks.
Производитель сетевого оборудования Cisco сообщил о том, что некоторые его решения безопасности не способны выявлять и блокировать трафик, идущий к вредоносным серверам, использующим технику SNIcat для незаметного похищения данных из корпоративных сетей.
В частности, уязвимость ( CVE-2021-34749 ) затрагивает межсетевые экраны Cisco с ПО FTD (Firepower Threat Defense), устройства с модулями WSA (Web Security Appliance) и все семейство межсетевых экранов ISA3000.
Впервые выявленная в августе 2020 года специалистами норвежской ИБ-компании mnemonic атака SNIcat представляет собой технику похищения данных. Если говорить точнее, исследователи из mnemonic обнаружили, что многие популярные сетевые устройства безопасности проверяют трафик пользователя, сверяясь с имеющимся у них списком блокировок, уже после TLS-рукопожатия.
Специалисты разработали простой PoC-скрипт на Python, способный собирать чувствительную информацию со взломанного компьютера и прятать ее в TLS-пакет Client Hello, отправляемый в начале TLS-рукопожатия, до того, как соединение пользователя будет проверено на наличие подозрительного трафика.
Компания Cisco стала уже четвертым крупным поставщиком устройств сетевой безопасности после F5 Networks, Fortinet и Palo Alto Networks, официально признавшим, что его устройства можно обойти с помощью техники SNIcat. В настоящее время она исследует модели нескольких других устройств и планирует выпустить обновления.
Компания Check Point заявила , что ее продукты неуязвимы к SNIcat.
В видео ниже представлены дополнительные подробности о
технике SNIcat, в частности, презентация исследования команды mnemonic на конференции Black Hat Europe 2020.