Cisco è intervenuta per risolvere quattro importanti vulnerabilità Dos (denial of service) che affliggevano il sistema operativo AsyncOs, sviluppato per la gestione delle proprie Web Security Appliance (Wsa): dispositivi di rete che monitorano il traffico Web in entrata e in uscita da un’azienda per identificare minacce come i malware, prevenendo anche la fuoriuscita non autorizzata di dati e altri pericoli. Le falle riguardano diverse versioni del sistema operativo e sono elencate nello specifico, con le singole release affette, a questa pagina Web. Cisco raccomanda di aggiornare immediatamente l’ecosistema delle appliance, per scongiurare il rischio di intrusioni e di problemi.
La prima vulnerabilità dipende dalla gestione non corretta del sistema operativo di un particolare codice di stato Http. Un hacker potrebbe inviare alle appliance una richiesta Http creata ad hoc, per consumare tutta la memoria residua del dispositivo target. In questo modo, la soluzione di Cisco non sarebbe più in grado di accettare altre richieste provenienti dall’esterno della rete aziendale, rendendosi di fatto inservibile e bloccando il traffico in entrata.
La seconda falla riguarda invece una scorretta verifica degli input dei pacchetti che costituiscono una richiesta Http Post (utilizzate solitamente per inviare i dati al server). Il bug può essere sfruttato anche in questo caso utilizzando una richiesta Http creata ad hoc, capace di bloccare le appliance e di causarne il riavvio.
La terza vulnerabilità, invece, è legata a un problema innescato dalla memoria libera dei dispositivi, quando dall’esterno della rete aziendale viene richiesta una serie di file contenuti nella cache. Un pirata informatico potrebbe approfittare del baco nel software aprendo connessioni multiple per richiedere, tramite le Wsa colpite, i diversi file. In questo modo, la memoria potrebbe riempirsi velocemente e rendere inutilizzabili i device.
Infine l’ultimo bug riguarda una gestione non corretta, da parte di AsyncOs, dello spazio da allocare per l’header e per il payload Http in ingresso. Riuscire a sfruttare questa falla darebbe all’hacker la possibilità di ricaricare il proxy e di interrompere di fatto il flusso del traffico, bloccando le funzionalità di tutta l’appliance.