Cisco Firepower

Cisco Firepower - интегрированный угрозоориентированный межсетевой экран (МСЭ).

2024: В продукте Cisco обнаружена уязвимость, позволяющая обмануть систему аутентификации и выполнить любую команду

В своём сообщении от 28 октября ФСТЭК предупредила об обнаружении критической уязвимости BDU:2024-08598^[1], которая присутствует в веб-интерфейсе управления сетью устройств компании Cisco Firepower Management Center (FMC). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в базовой операционной системе с привилегиями суперпользователя с помощью отправки специально сформированных HTTP-запросов. Уровень опасности уязвимости по CVSSv3 составляет 9.9 из 10.

Компания Cisco уже выпустила для неё исправления. Уязвимость была закрыта в октябрьском наборе исправлений. Связана она с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Злоумышленник с помощью этой уязвимости может обмануть систему аутентификации Cisco FMC и выполнить любую команду.

Как правило, такие системы не выставляют на периметр, — пояснил TAdviser Алексей Леднев, руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies. — К тому же для ее эксплуатации требуется валидная учетная запись в системе. Плюс в публичном доступе эксплойта нет. Всё это говорит о том, что ждать массовой атаки не стоит. Но APT-группировка вполне может использовать данную уязвимость, так как сетевые устройства являются достаточно лакомой целью для злоумышленников.

Хотя уязвимость имеет уровень опасности по CVSS 9.9, что подразумевает, в том числе, и лёгкую ее эксплуатацию, однако на самом деле для успешного использования этой ошибки злоумышленнику нужно угадать учётные данные пользователя с ролью как минимум аналитика безопасности.

Эта уязвимость связана с недостаточной проверкой ввода некоторых HTTP-запросов, и для её эксплуатации злоумышленнику потребуются действительные учетные данные для учетной записи пользователя как минимум с ролью аналитика безопасности, — заявил TAdviser Алексей Рябинин, ведущий специалист отдела технической защиты конфиденциальной информации Cloud Networks. — Затем ею можно будет воспользоваться, пройдя аутентификацию в веб-интерфейсе управления уязвимого устройства, а затем отправив на устройство созданный HTTP-запрос.

Получить же данные учётной записи пользователя непросто. Для этого, вполне возможно, придётся прибегнуть к фишингу.

Для использования уязвимости хакеру требуется получить учетные данные пользователя, которые можно добыть с помощью фишинговой атаки, — объяснил читателям TAdviser цепочку атаки Андрей Яшинин, инженер-аналитик по выявлению уязвимостей R-Vision. — Фишинг — распространенный метод получения информации, и его часто сложно минимизировать из-за невысокой информированности сотрудников предприятий. В результате уязвимость может привести к утечке конфиденциальных данных, хранящихся в системе, изменениям данных, внедрению вредоносных команд и нарушению нормальной работы системы. А также атакующий может полностью ограничить доступ к управлению сети.

Следует отметить, что сам по себе продукт в России когда-то был популярен.

Продукт Cisco Firepower Management Center достаточно популярен на российском рынке, и многие компании продолжают его использовать, — поделился с TAdviser Александр Шилов, руководитель направления сетевой безопасности в «К2 Кибербезопасность». — Процесс импортозамещения идет полным ходом и российские аналоги продукта активно развиваются. Но не все пользователи готовы быстро отказаться от привычных и проверенных западных решений в пользу отечественных.

Специалисты ФСТЭК для защиты от эксплуатации этой уязвимости предлагают принять следующие меры:

• Отключить или полностью удалить неиспользуемые учётные записи пользователей;
• Использовать системы обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
• Сегментировать сеть для ограничения доступа к уязвимому программному продукту.

Хотя нет традиционного для предлагаемых ФСТЭК мер совета закрыть к уязвимому продукту прямой доступ из интернета и организовать для удалённого администрирования защищённое VPN-подключение, но именно такая рекомендация здесь была бы вполне уместна. Обычно такие системы управления устанавливаются внутри корпоративной сети, и прямого доступа к ним хакеры получить не могут. Метавселенная ВДНХ 3.3 т

Александр Шилов также рекомендует использовать на внутреннем межсетевом экране правило типа Stealth, которое поможет предупредить атаки, исключив возможность несанкционированного доступа к веб-интерфейсу управления. Впрочем, все специалисты сходятся во мнении, что для исправления уязвимости нужно установить обновления производителя, но для российских компаний сделать это непросто.

2021: Сертификация ФСТЭК России межсетевого экрана

Компания САТЕЛ 31 марта 2021 года сообщила о получении сертификата соответствия на средство защиты информации - межсетевой экран, реализованный в устройствах сетевой безопасности серии Cisco Firepower 2100. Сертификат был выдан Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК России).

Сертификация соответствующего оборудования была произведена компанией САТЕЛ по схеме «серия», что предоставляет заказчикам возможность получения неограниченного количества сертифицированных межсетевых экранов Cisco Firepower 2100.

Cisco Firepower 2100 - межсетевой экран типов «А» и «Б», применяемый на физической и логической границе информационной системы или между физическими и логическими границами сегментов информационной системы. Межсетевой экран предназначен для интеграции локальных вычислительных сетей в сеть масштаба предприятия (Intranet) и в глобальные сети типа Интернет. Интеграция реализуется на основе задаваемых администратором правил фильтрации потоков информации по заданным направлениям, обеспечивающих разграничение доступа субъектов одной сети к объектам другой. Интерпретация набора правил осуществляется последовательностью команд программного обеспечения межсетевого экрана, которые разрешают или запрещают передачу пакетов данных в том или ином направлении.

Межсетевой экран серии Cisco Firepower 2100 сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и имеет сертификат соответствия требованиям по безопасности информации № 4373. Согласно сертификату данное оборудование соответствует требованиям документов:

• Требования к межсетевым экранам (ФСТЭК России, 2016);
• Профиль защиты межсетевых экранов типа «А» шестого класса защиты. ИТ.МЭ.А6.ПЗ (ФСТЭК России, 2016);
• Профиль защиты межсетевых экранов типа «Б» шестого класса защиты. ИТ.МЭ.Б6.ПЗ (ФСТЭК России, 2016);
• Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утвержден приказом ФСТЭК России от 2 июня 2020 г. № 76) по 6 уровню доверия.

Соответствие российским нормативным требованиям является неотъемлемой частью стратегии Cisco. Мы рады, что смогли сделать очередной шаг в этом направлении совместно с нашим многолетним технологическим партнером - компанией САТЕЛ, - прокомментировал Михаил Кадер, заслуженный системный инженер Cisco.

2017: Cisco Firepower серии 2100

В феврале 2017 года Cisco представила семейство межсетевых экранов следующего поколения для интернет-периметра — Cisco Firepower серии 2100. Эти межсетевые экраны характеризуются практически неизменной пропускной способностью при включении дополнительных сервисов безопасности, а также отвечают потребностям современных организаций в обеспечении безотказной работы и защите критически важных бизнес-функций и данных.

Модели данной серии

• Firepower 2110 Security Appliance
• Firepower 2120 Security Appliance
• Firepower 2130 Security Appliance
• Firepower 2140 Security Appliance

При переходе к цифровым бизнес-моделям решения кибербезопасности должны поддерживать масштабирование для добавления новых функций и противостояния новым угрозам и уязвимостям без ухудшения производительности сети и приложений. В реальности это, к сожалению, не так. Включение функции обнаружения вторжений на межсетевом экране может привести к снижению пропускной способности вдвое и даже больше. Как следствие, существенно страдают такие веб-приложения взаимодействия с заказчиками, как интернет-банк и электронная коммерция, которым необходима максимальная производительность и которые чаще других становятся мишенью для злоумышленников. Некоторые предприятия для повышения производительности отключают функционал обеспечения информационной безопасности, подвергая риску как себя, так и своих заказчиков.

Межсетевые экраны серии 2100, в которых применяется впервые реализованная в отрасли архитектура с двумя многоядерными ЦПУ, позволяет ускорить ключевые функции шифрования, экранирования и защиты. Это модели специально разработаны для удовлетворения потребностей заказчиков в постоянном поддержании надлежащего уровня безопасности и производительности. По сравнению с продуктами аналогичной ценовой категории, Cisco Firepower 2100 обеспечивает более высокую производительность даже при задействованном функционале анализа угроз.

2016

18 февраля 2016 года компания Cisco анонсировала выпуск полностью интегрированного угрозоориентированного межсетевого экрана Cisco Firepower.

Cisco Firepower-4100 (2016)

Решение, согласно заявлению вендора, значительно отличается от аналогов, ограничивающихся контролем над приложениями: решение Cisco обнаруживает и распознает потенциальных взломщиков, обеспечивая безопасность.

Вместе с анонсом МСЭ компания ввела в действие консалтинговую службу Cisco Security Segmentation Service.

Ее задача помочь:

• улучшить совместимость;
• локализовать источник атаки;
• обнаруживать угрозы;
• отслеживать безопасность контента;
• предотвращать утечку данных по всей ИТ-инфраструктуре.

Оба новшества Cisco направлены на защиту от опасных и устойчивых угроз кибератак.

Защита от угроз — отличительная особенность МСЭ Cisco Firepower. Cisco Firepower объединяет аналитику угроз, соблюдение политик безопасности и информацию о том, как пользователи подключаются к приложениям. Такой уровень прозрачности во всей бизнес-среде усиливает защиту и сокращает время обнаружения угроз и реагирования на них. МСЭ позволяет автоматизировать и корректировать защитные меры и практически сразу усиливать систему защиты благодаря своей возможности учитывать текущие уязвимости, активы и угрозы в сети. Согласованные действия мер безопасности обеспечивают защиту, которую не в состоянии предоставить точечные решения.

Cisco Firepower увеличивает скорость, простоту и эффективность обнаружения атак и реагирования на них. Продукт объединяет в единое решение сервисы защиты от угроз и технологию динамической пакетной фильтрации Cisco.

Среди возможностей продукта:

• система нового поколения для предотвращения вторжений (NGIPS);
• система Advanced Malware Protection (AMP);
• фильтрация URL-адресов на основе репутации.

Интегрированный МСЭ сочетает решения компании Cisco и сторонних производителей, позволяя распределить между ними аналитические возможности и контекст. Теперь предприятия могут устанавливать взаимосвязь между ранее разрозненными фрагментами данных, быстрее распознавать и отражать сложные атаки, где бы они ни происходили. Это повышает конкурентоспособность организаций, желающих воспользоваться новыми возможностями для бизнеса, начав работать с облаком, виртуальной средой, Интернетом вещей и мобильными устройствами.

Компания Cisco представила устройство Cisco Firepower серии 4100 для высокопроизводительных приложений, используемых средним и крупным бизнесом. Это высокопроизводительное устройство, в своем классе, с оптимальной плотностью вычислительных ресурсов, способно отслеживать угрозы при высокой пропускной способности и низкой задержке сети и пригодно для использования организациями высокочастотного трейдинга и развертывания ЦОД. Устройство оснащено встроенными портами 40 GbE, высота корпуса - одно стоечное место (1U).