Cisco Security Manager

Cisco Security Manager является решением для централизованного предоставления всех аспектов конфигурации устройств и политик безопасности для межсетевых экранов Cisco, виртуальных частных сетей (VPN) и систем предотвращения вторжений (IPS). Это решение обеспечивает эффективное управление даже небольшими сетями, в которых находится не более 10 устройств, однако оно может расширяться для управления крупными сетями, состоящими из тысяч устройств. Масштабируемость достигается за счет интеллектуальных методов управления на основе политики, упрощающих администрирование.

Cisco Security Manager (CSM) - масштабируемая централизованная система управления, с помощью которой администраторы могут эффективно управлять широким ассортиментом устройств информационной безопасности от компании Cisco, видеть установленные в сети устройства и обмениваться информацией с другими важными сетевыми сервисами (системами удовлетворения законодательных и нормативных требований и современными системами анализа информационной безопасности).

История

2025: ФСТЭК предупредила об атаках кибергруппировок на спам-фильтры Cisco

ФСТЭК в двадцатых числах декабря разослала предупреждение об обнаружении критической уязвимости BDU:2025-16120^[1] в операционной системе AsyncOS спам-фильтров Cisco в продуктах Secure Email Gateway (SEG) и Secure Email and Web Manager. Уязвимость имеет уровень опасности 10, и для нее уже разработан эксплойт, причем ошибка уже используется в атаках. Исправлений пока нет, но производитель выпустил набор рекомендаций для временной блокировки уязвимости. Впрочем, специалисты ФСТЭК также предлагают свои компенсационные меры.

𝓲

Фото: БИТ.Ассистент

Cisco SEG — это система для защиты электронной почты, которая анализирует и фильтрует входящий и исходящий почтовый трафик, а также выявляет потенциально опасные сообщения. Продукт под названием Cisco Secure Email and Web Manager, который ранее назывался Content Security Management Appliance, предназначен для управления и предоставления отчётности устройств Cisco, обеспечивающих защиту электронной почты и веб-ресурсов.

Оба продукта в качестве операционной системы используют AsyncOS, которая разработана для обеспечения безопасности с помощью недоступной пользователям оболочки UNIX. ОС занимается фильтрацией спама и вредоносного трафика, анализирует угрозы, содержащиеся в почтовом трафике, выявляет случаи распространения вредоносных кодов и готовит отчетность по проделанной работе, а также защищает от попыток фишинга.

До 2022 года оба продукта Cisco входили в число типовых решений для крупного корпоративного и операторского сегмента — особенно там, где исторически выстроена инфраструктура на оборудовании Cisco, – заявил TAdviser Виктор Гуров, эксперт по кибербезопасности Ideco. – После ухода производителя с российского рынка и ограничений по обновлениям новых внедрений практически нет, но в крупном корпоративном сегменте такие системы продолжают эксплуатироваться: их не всегда возможно быстро и безболезненно заменить, а сами решения остаются функциональными. То есть сейчас это не массовое решение «по рынку в целом», а, скорее, наследие крупных инфраструктур, где миграция идёт поэтапно.

Обнаруженная уязвимость BDU:2025-16120 относится к классам недостаточной проверки вводимых данных (CWE-20), а также к навязыванию пути в файловой системе (CWE-30). В результате ее эксплуатации злоумышленники, действующие удаленно с помощью методов манипулирования ресурсами, могут выполнить произвольный код с правами суперпользователя. Ошибка связана с недостатками механизмов фильтрации входящих данных и может быть задействована как в физических, так и в виртуальных версиях продуктов.

Уязвимость имеет критический уровень опасности: её эксплуатация позволяет злоумышленнику удалённо выполнить произвольный код с root-правами на почтовом шлюзе, – подчеркнул для читателей TAdviser Михаил Спицын, эксперт лаборатории стратегического развития продуктов кибербезопасности компании «Газинформсервис». – А это не просто «ещё один сервер». Это точка, через которую проходит вся корпоративная почта, вложения, служебная информация, а иногда даже авторизационные токены. Более того, скомпрометированный шлюз может стать плацдармом для латерального перемещения в корпоративной сети и дальнейших целевых атак. При наличии уязвимого оборудования в инфраструктуре риски следует оценивать как высокие.

Хотя кажется, что спам-фильтры можно атаковать достаточно легко – с помощью рассылки спама, в случае уязвимости BDU:2025-16120 все-таки есть определенные нюансы.

Несмотря на то, что уязвимость критичная и она уже используется различными группировками, есть несколько требований к эксплуатации, которые могут нивелировать потенциальную опасность, – заявил TAdviser Александр Колесов, руководитель направления развития и исследований «Бастион». – Необходимо, чтобы функциональность Spam Quarantine, которая по умолчанию выключена, работала. Важно учесть, что порт этой функциональности должен быть доступен из интернета, однако Cisco в своих руководствах администрирования не рекомендует этого делать и настаивает на его использовании только в локальной сети.

Чтобы минимизировать вероятность эксплуатации обнаруженной уязвимости, ФСТЭК в своем предупреждении рекомендует использовать следующие компенсирующие меры:

• Использовать разные сетевые порты для обработки почтовых сообщений и администрирования уязвимого программного обеспечения;
• Ограничить возможности доступа к уязвимому программному обеспечению по протоколу HTTP;
• Настроить механизм аутентификации по протоколам SAML или LDAP;
• Использовать средства межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
• Установить и настроить SIEM-систему для отслеживания попыток эксплуатации уязвимости;
• Пользоваться только защищенными коммуникациями для организации удаленного доступа;
• Ограничить доступ к устройству из внешних сетей интернет.

Рекомендации ФСТЭК в данном случае корректны: необходимо либо изолировать уязвимое приложение (разрешить только изнутри или через защищенные коммуникации), либо вообще его отключить, – пояснил для читателей рекомендации специалистов Аскар Добряков, ведущий эксперт направления защиты данных и приложений в «К2 Кибербезопасность». – Если не получится — хотя бы фильтровать запросы на предмет признаков атак. А также проверить, не опубликован ли уязвимый модуль Spam Quarantine во внешние сети.

2012: Cisco Security Manager 4.3

Система управляет разнообразным оборудованием Cisco, предназначенным для безопасной ИТ-среды, в том числе адаптивными устройствами информационной безопасности Cisco ASA 5500 и 5500-X, сенсорными устройствами Cisco IPS 4200, 4300 и 4500 (предназначены для предотвращения вторжений), безопасными мобильными клиентами Cisco AnyConnect Secure Mobility Client и безопасными маршрутизаторами Cisco Secure Router.

В отличие от других систем управления, чье масштабирование требует установки множества продуктов, один-единственный экземпляр CSM может управлять очень большим количеством устройств, что резко увеличивает масштабируемость данного решения.

Данная система поддерживает непрерывный мониторинг "здоровья" и производительности устройств Cisco ASA и IPS и передает сигналы тревоги, когда отслеживаемые параметры достигают пороговых значений.

Интуитивно понятный интерактивный шаблон (wizard) значительно упрощает и оптимизирует индивидуальное и групповое обновление программных образов на сетевых экранах ASA.

Решение предоставляет (через интерфейсы API) доступ к настройкам политик Cisco Security Manager и позволяет организациям передавать эту информацию другим важным сетевым сервисам, например, системам, отвечающим за удовлетворение законодательных и нормативных требований и анализ уровня информационной безопасности.

Примечания