Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.
Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).
Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.
SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.
“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.
“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”
Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).
Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.
Selengkapnya: Bleeping Computer
