Уязвимость в реализации SAML затрагивает три продукта Cisco

Компания Cisco исправила уязвимость в реализации Security Assertion Markup Language (SAML). Поскольку уязвимость (CVE-2018-0229) затрагивает язык разметки, ее «унаследовали» сразу несколько продуктов:

Механизм аутентификации с технологией единого входа (Single sign-on) в продукте Cisco AnyConnect;

ПО Adaptive Security Appliance (ASA);

ПО Firepower Threat Defense (FTD).

Согласно уведомлению безопасности Cisco, уязвимость позволит атакующему получить доступ к ASA и FTD в случае, если ему удастся заставить жертву подключиться к средствам безопасности. Проблема связана с невозможностью в ASA и FTD проверить, действительно ли запросы на аутентификацию отправляются непосредственно клиентом AnyConnect. Злоумышленник может проэксплуатировать уязвимость, заставив жертву нажать на вредоносную ссылку и использовав для аутентификации продукт Cisco Identity Provider (IdP).

С помощью фишинга атакующий может заполучить токен авторизации пользователя и установить сеанс AnyConnect в корпоративной сети через ASA или FTD. Уязвимость затрагивает ASA и FTD в случае, если в них реализована технология единого входа на базе SAML 2.0 через AnyConnect VPN, а сеанс завершен на продуктах 3000 Series, ASA 5500 и 5500-X, ASA модуле в переключателях Catalyst 6500 или маршрутизаторах 7600, ASAv, Firepower 2100 или 4100, Firepower 9300 ASA модуле или FTDv.

SAML – язык разметки на базе языка расширяемой разметки XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, в частности, между поставщиком учетных записей и сервис-провайдером. SAML был разработан в 2001 году Техническим комитетом безопасности сервисов.