هشدار سیسکو در خصوص وجود حفره امنیتی ریموت ها

سیسکو یک اشکال شدید را در رابط کاربر مبتنی بر وب خود از نرم افزار IOS XE خود نصب کرده است. این نقص اجازه می دهد هر کس در اینترنت بی گناه به شبکه های داخلی بدون رمز عبور.

این مسئله به تازگی افشا شده، به عنوان CVE-2019-1904 ردیابی می شود، می تواند توسط یک مهاجم از راه دور با استفاده از یک تقلب درخواست جعلی (CSRF) برای سیستم های آسیب دیده مورد سوء استفاده قرار گیرد.

سیسکو IOS XE نسخه مبتنی بر لینوکس سیستم عامل اینترنت (IOS) شرکت است، استفاده می شود در روتر های شرکت های متعدد و سوئیچ های کاتالیست سیسکو. سیسکو تایید کرد که اشکال بر روی IOS، IOS XR یا انواع NX-OS تاثیر نمی گذارد.

سیسکو توضیح می دهد: آسیب پذیری ناشی از محافظت CSRF برای وب UI در یک دستگاه آسیب پذیر است. مهاجم می تواند این آسیب پذیری را با متقاعد کردن یک کاربر از رابط کاربری به دنبال یک لینک مخرب، مورد سوء استفاده قرار دهد.

در یک سناریوی حمله، یک سوءاستفاده از CSRF می تواند در داخل تبلیغات مخرب پنهان شود و خود را به تسلیحات در یک کیت بهره برداری منتقل کند. درخواست تجدید نظر در بهره برداری از این نقص این است که به مهاجم اجازه می دهد شبکه های داخلی یا مدیران را بدون استفاده از هر گونه هشدار دهنده هدف قرار دهد.

مهاجمی که با موفقیت از این نقص استفاده می کند، می تواند هر گونه اقداماتی را که می خواهند با همان امتیاز دسترسی کاربر آسیب دیده انجام دهد.

سیسکو هشدار می دهد: "اگر کاربر دارای امتیازات مدیریتی باشد، مهاجم سایبری می تواند پیکربندی را تغییر دهد، دستورات را اجرا کند یا یک دستگاه آسیب دیده را دوباره بارگذاری کند.

تنها راه پاسخگویی به این آسیب پذیری این است که به روز رسانی نرم افزار سیسکو را در دسترس قرار داده است. و این به روز رسانی فقط برای مشتریان با مجوز معتبر سیسکو در دسترس است.

اشکال توسط محققان در Red Balloon Security کشف شد، شرکت Thangrycat کشف شد که اواخر ماه می در معرض آسیب پذیری Cisco Trust Anchor (TAm) قرار گرفت که از سال 2013 به عنوان یک تراشه امنیتی اختصاصی در دسکتاپ سیسکو موجود است.

شرکت همچنین یک نقص مفقود شدن از راه دور کد جداگانه در رابط وب IOS XE را پیدا کرد.

در حالی که هیچ مشکلی برای اشکال جدید وجود ندارد، غیر فعال کردن ویژگی سرور HTTP بسته این بردار حمله و "ممکن است یک کاهش مناسب" تا زمانی که دستگاه های معلق در حال اجرا نسخه ثابت، با توجه به سیسکو.

سیسکو یادآور می شود که کد اکتیو مفهوم برای این آسیب پذیری IOS XE وجود دارد. با این حال، افزوده می شود که هنوز مشخص نیست که کد سوء استفاده در دسترس عموم است.

آسیب‌پذیری SSH سیسکو راهکاری برای نفوذ هکرها

سیسکو یک پچ برای آسیب پذیری بحرانی در سوئیچ های Nexus 9000 منتشر کرد که می تواند اجازه دسترسی به ریشه را به دلیل استفاده از یک جفت کلید پیش فرض SSH به دستگیرنده از راه دور دهد.

دوره سیسکو یک پچ را برای یک آسیب پذیری مهم دسترسی به ریشه در محصولات خود منتشر کرد، اما هر دو متخصص و فروشنده خود ادعا می کنند که این نقص یک درپرونده نیست.

پچ، منتشر شد 1 مه، آسیب پذیری در نرم افزار سوئیچ سری سیسکو سری Nexus 9000 را تصحیح کرد که ناشی از وجود یک جفت کلید پیش فرض SSH در دستگاه ها است. با توجه به مشاوره امنیتی فروشنده، آسیب پذیری اصلی سیسکو SSH می تواند به یک مهاجم ناشناخته، از راه دور برای اتصال به سیستم آسیب دیده با امتیازات کاربر ریشه اجازه دهد. "

این مشاور همچنین اظهار داشت که مهاجمان می توانند از جفت کلید پیش فرض برای باز کردن یک اتصال SSH از طریق IPv6 به دستگاه های آسیب پذیر استفاده کنند. سخنگوی سیسکو گفت که این آسیب پذیری بیش از IPv4 قابل بهره برداری نیست و تنها "بر روی سوئیچ Fabric Series Nexus 9000 در حالت زیرساختی برنامه کاربردی تاثیر می گذارد؛ بر روی سوئیچ های Nexus 9000 در حالت مستقل تأثیر نمی گذارد."

رون گولا، یکی از بنیانگذاران شرکت Tenable و رئیس فعلی و یکی از بنیانگذاران Gula Tech Adventures، یک شرکت سرمایه گذاری در زمینه امنیت سایبری، گفت که نقص سیسکو SSH مانند شکست در فرآیندهای امنیتی شبیه به شکست است.

گولا گفت: "نیاز به SSH یا فرم های رمزگذاری پیش فرض، پیچیدگی های صادرات دستگاه ها را افزایش می دهد. شبکه راه دور کنترل قابل قبولی در شبکه های مدیریت خصوصی است." "سیسکو دارای کنترل های زیادی برای جلوگیری از آسیب پذیری هایی مثل این از حمل و نقل است و به وضوح چیزی با این فرآیند اشتباه گرفته شده است."

دن کورنل، CTO Denim Group، یک مشاور امنیتی امنیتی، خاطرنشان کرد که حمل ونقل با جفت های اصلی SSH به طور پیش فرض ممکن است یک مسئله مهم باشد، اما شگفت آور نیست. مواردی مثل این همیشه در زمان اتفاق می افتد. "

با این حال، چندین گزارش رسانه ای آسیب پذیری را به عنوان یک درپشتی ممکن توصیف کرد. سیسکو تعدادی از آسیب پذیری های مربوط به اعتبار نامه های سخت افزاری و پیش فرض را طی دو سال گذشته افشا و تصحیح کرده است.

Huawei، تولید کننده ی رقابتی که به خاطر مسائل امنیتی خود در معرض آتش سوزی قرار دارد، و نیز روابط با دولت چین، از طریق توییتر از طریق توییتر، از سوییچ کلید های جفت کلید SSH، سوء استفاده می کند. "شرکت Backdoors در سوئیچ های شبکه سیسکو ثابت می کند که تجهیزات تکنولوژی خانگی خانگی ایالات متحده همانند دیگر موارد ناکافی است." این شرکت از طریق حساب توییتر خود در Huawei Facts گفت.

سیسکو ادعا کرد که این یک درپشتی نبود، زیرا سیاست شرکتش منافع عقب افتاده را ممنوع کرده است.

"در خط مشی آسیب پذیری امنیت سیسکو، شیوه های توسعه محصول سیسکو به طور خاص هر گونه رفتارهای عمدی یا ویژگی های محصول که برای دسترسی به دستگاه یا دسترسی به شبکه غیرمجاز، قرار گرفتن در معرض اطلاعات دستگاه حساس یا دور زدن ویژگی های امنیتی یا محدودیت ها طراحی شده است، ممنوع می شود. سخنگوی سیسکو گفت: "روش های دسترسی و یا" backdoors ". "متأسفانه، با وجود بهترین تلاش های فروشندگان فناوری، آسیب پذیری های امنیتی هنوز هم رخ می دهد. هنگامی که این آسیب پذیری های جدی را شناسایی می کنیم، ما به آنها با بالاترین اولویت رسیدگی می کنیم."

کورنل گفت که جفت کلید SSH سیسکو باید به عنوان یک درپشتی مورد توجه قرار گیرد، اما باید آن را به طور عمدی ترک کرد، اما "چیزی که تا کنون گزارش شده است، هیچ گونه درک از استدلال حمل و نقل دستگاه ها را با جفت کلید پیش فرض ندارد. "

وی گفت: "به نظر می رسد یک چیز ترسناک در مورد آسیب پذیری های امنیتی این است که هر گونه آسیب پذیری امنیتی می تواند یک درپشتی باشد - اگر به طور عمدی وارد محصول شود. این در واقع ساده ترین راه برای ورود به عقب در بسیاری از سیستم ها است، زیرا توسعه دهنده یا فروشنده آن را فراهم می کند انکارپذیری. "من متاسفم - اشتباهات برنامه نویسی را ساخته ام" بسیار دشوار است، به ویژه با توجه به میزان بالای آسیب پذیری های موجود در سیستم های نرم افزاری ".

گولا گفت که "منصفانه نیست که آن را به یک درپوش" نام ببرید.

"اگر چه این نوع آسیب پذیری می تواند به عنوان یک درپوش برای دسترسی به یک درصد بسیار کوچک از دستگاه های ساخته شده توسط سیسکو مورد استفاده قرار گیرد، آن را نمی توان برای تعمیر و نگهداری و پشتیبانی از راه دور از مشتریان سیسکو استفاده می شود.این می تواند توسط هر یک از سازمان های اطلاعاتی انجام سایبر نظارت، اما در نتیجه از هیچ آسیب پذیری دیگر در هر دستگاه شبکه دیگر متفاوت نیست. "آسیب پذیری ها می توانند توسط طراحی طراحی شده، اما با در نظر گرفتن دسترسی گسترده به آسیب پذیری در تمام دستگاه ها، بعید است که این ها به عقب عمدی بوده باشند. یک مشتری معمولی از روتر و فروشندگان شبکه، قادر به شناسایی پشتی واقعی برای اهداف جاسوسی نیست، که بسیار متفاوت از آسیب پذیری هایی است که از پیچیدگی های نرم افزاری، مسائل مربوط به برنامه نویسی و توزیع منتشر شده است. "

سیسکو 26 بسته امنیتی برای سوییچ ها و فایروال ها منتشر کرد

سیسکو حفره هایی را در نرم افزار Nexus 3000، 3500، 7000، 9000 سوئیچ و Firepower 4100 Series فایروال نسل بعدی و Firepower 9300 را در اختیار دارد.

سیسکو 25 توصیه امنیتی را ارائه می دهد که 26 آسیب پذیری را در سوئیچ سیسکو NX-OS و نرم افزار فایروال Firepower FXOS توصیف می کند.

در حالی که 26 هشدارها آسیب پذیری هایی را توصیف می کنند که امتیاز امنیتی امنیتی "High" دارند، بیشترین -23 - بر روی نرم افزار NX-OS سیسکو تاثیر می گذارند، و سه باقی مانده شامل هر دو بسته های نرم افزاری می شود.

این آسیب پذیری ها شامل تعدادی از مشکلات است که اجازه می دهد یک مهاجم دسترسی غیرمجاز، امتیاز بیشتری دریافت کند، دستورات دلخواه خود را اجرا کند، فرار از پوسته محدود، عبور از بررسی سیستم بررسی تصویر و یا عدم دسترسی سرویس (DoS)، سیسکو گفت.

این کمپانی رفع نرم افزار را برای همه آسیب پذیری ها منتشر کرده است و هیچ کدام از این مشکلات بر روی نرم افزار سیسکو IOS یا سیسکو IOS XE تاثیر نمی گذارد.

اطلاعاتی در مورد اینکه نرم افزارهای سیسکو FXOS و نرمافزار سیسکو NX-OS منتشر شده آسیب پذیر هستند و چه در مورد آن باید در بخش نرم افزار ثابت مشاوره موجود باشد.

آسیب پذیری پیاده سازی LDAP

بدترین آسیب پذیری ها - با امتیاز سیستم امتیازدهی رایج 8.6 از 10 - در پیاده سازی پروتکل قابلیت دسترسی آسان دایرکتوری (LDAP) در نرم افزار سیسکو FXOS و سیسکو NX-OS یافت می شود. این مسئله می تواند اجازه ی یک حمله غیرقابل اعتبار، از یک دستگاه آسیب دیده برای بارگیری مجدد را داشته باشد که منجر به انکار سرویس (DoS) می شود، سیسکو اعلام کرد.

"آسیب پذیری ها ناشی از تجزیه نامناسب بسته های LDAP توسط یک دستگاه آسیب دیده است. یک مهاجم می تواند از این آسیب پذیری ها با ارسال یک بسته LDAP که با استفاده از قوانین رمزگذاری اولیه (BER) به یک دستگاه آسیب دیده ساخته شده است، استفاده کند. "بسته LDAP باید یک آدرس IP منبع از یک سرور LDAP پیکربندی شده در دستگاه هدف را داشته باشد."

این آسیب پذیری بر روی تعدادی از محصولات Firepower 4100 Series Next Generation Firewall و Firepower 9300 Security Appliance به سری چند لایه سری MDS 9000، سری Nexus 3000، 3500، 7000، سری 9000 و UCS 6200، سری 6300 Fabric Interconnects تاثیر می گذارد.

آسیب پذیری تجزیه و تحلیل Tetration Analysis

یکی دیگر از آسیب پذیری های بسیار رتبه بندی شده در نمایه تجزیه و تحلیل تطبیقی ​​سیسکو برای سوئیچ های سری Nexus 9000 در حالت NX-OS مستقل است که می تواند اجازه داده شود یک مهاجم محلی تأیید شده، کد ریشه دلخواه را اجرا کند. یک مهاجم می تواند با جایگزینی فایل های عامل معتبر با کد مخرب از این آسیب پذیری بهره برداری کند. سیسکو در مشاوره گفت که یک سوءاستفاده موفق میتواند موجب اجرای کد شده توسط مهاجم شود. آسیب پذیری به دلیل تنظیم مجوز نادرست است.

سیستم تجزیه و تحلیل سیسکو Tetration جمع آوری اطلاعات از سنسورهای سخت افزاری و نرم افزار و تجزیه و تحلیل اطلاعات با استفاده از تجزیه و تحلیل داده های بزرگ و یادگیری ماشین برای مدیران فناوری اطلاعات در درک عمیق تر از منابع مرکز داده خود. ایده Tetration شامل توانایی به طور چشمگیری بهبود نظارت امنیتی شرکت، ساده قابلیت اطمینان عملیاتی است.

یک آسیب پذیری چندگانه در نرم افزار Nexus می تواند اجازه دهد که مهاجمان امتیاز بیشتری در سوئیچ ها به دست آورند و دستورات نابغه را اجرا کنند.

سیسکو نوشت که اولین ضعف ناشی از بررسی مجوز نادرست حسابهای کاربری و شناسه گروه مربوط به آنها است. "مهاجم می تواند با استفاده از یک خطای منطقی که امکان استفاده از دستورات اختصاصی بالاتر را دارد از آنچه که لزوما اختصاص داده شده است، می تواند از این آسیب پذیری بهره برداری کند. یک سوءاستفاده موفق میتواند به مهاجم اجازه دهد دستورات را با امتیازات بالا بر روی پوسته پایه لینوکس دستگاه آسیب دیده اجرا کند. "

این مشکل بر روی خطوط کارت Nexus 3000، 3500، 7000، 7700، 9000 و Series Switches و سری Nexus 9500 R و ماژولهای Fabric تاثیر می گذارد.

دومین قرار گرفتن در معرض ناشی از عدم اجرای مجازات مجوز است. مهاجم می تواند از طریق شناسایی به دستگاه هدف و اجرای دستورات که می تواند به امتیازات بالا منجر شود، از این آسیب پذیری بهره برداری می کند. یک سوءاستفاده موفق میتواند به مهاجم اجازه دهد تغییرات پیکربندی را به سیستم به عنوان مدیر انجام دهد.

این مشکل روی خطوط کارت Nexus 3000، 3500، 3600، 9000 و Nexus 9500 R تاثیر می گذارد.

هشدار برای تامین ابزار تأمین POAP

سیسکو همچنین یک مشاوره اطلاعاتی برای سوئیچ های سیسکو Nexus با استفاده از قابلیت تنظیم خودکار یا استفاده از صفر لمسی به نام PowerOn Auto Provision (POAP) منتشر کرد.

سیسکو گفت که این ویژگی در ارتقاء استقرار اولیه و پیکربندی سوئیچ های Nexus کمک می کند و پس از اعمال تنظیمات، ویژگی POAP خود را غیر فعال می کند. اما سیسکو گفت که برای شبکه های مناسب که در آن POAP استفاده می شود، بسیار مهم است.

"برخی از مشتریان ممکن است بخواهند ویژگی POAP را غیرفعال کنند و از روشهای دیگر برای پیکربندی دستگاه Nexus خارج از جعبه استفاده کنند." سیسکو اعلام کرد.

برای این منظور، سیسکو نوشت که چندین دستور جدید را برای غیرفعال کردن POAP اضافه کرده است که در تنظیم مجدد تنظیمات پیش فرض کارخانه و حذف یک پیکربندی ادامه خواهد یافت. برای راهنمایی هایی در مورد حفاظت از محیط POAP و همچنین اطلاعات مربوط به غیرفعال کردن ویژگی، بخش های جزئیات و توصیه ها را ببینید.

این داستان، "سیسکو 26 تکه امنیتی برای سوئیچ ها، فایروال ها را باز می کند" در اصل توسط Network World منتشر شد.