رفع آسيب‌‌پذيری افزايش امتياز در تجهيزات امنيتی سازگار

علمی پزشکی فناوری

نظر دادن

دانلود PDF

برای اینکه رفع این آسیب‌پذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آن‌ها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است.

به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، یک ‫آسیب‌پذیری در نرم‌افزار تجهیزات امنیتی سازگار (ASA) سیسکو کشف شده است که به یک مهاجم اجازه می‌دهد فایل‌ها را بازیابی یا تصاویر نرم‌افزار را بر روی یک دستگاه جایگزین کند.

این نقص امنیتی که به صورت CVE-2018-15465 ردیابی می‌شود، می‌تواند توسط یک مهاجم احراز‌ هویت‌ نشده و راه دور مورد سوءاستفاده قرار گیرد تا عملیات ممتاز را با استفاده از واسط مدیریتی وب انجام دهد. برای سوءاستفاده از این نقص لازم است مهاجم درخواست‌های HTTP خاصی را از طریق HTTPS به یک دستگاه متأثر به عنوان یک کاربر غیرممتاز ارسال کند.

مهاجم با سوءاستفاده از این نقص می‌تواند پیکربندی در حال اجرا را تغییر دهد یا دانلود کند و همچنین سخت‌افزار تجهیزات را آپلود یا جایگزین کند. مهاجم می‌تواند سخت‌ افزار را با نسخه‌ قدیمی‌تر آن جایگزین کند و سپس از آسیب‌پذیری‌های شناخته‌ شده‌ موجود در آن، سوءاستفاده کند.

مشکل این است که مجوزهای کاربر هنگام استفاده از واسط مدیریتی وب به‌درستی اعتبارسنجی نمی‌شوند و هنگامی که احراز هویت فرمان (command authentication) در تجهیزات امنیتی سازگار سیسکو غیرفعال باشد (وضعیت پیش‌فرض) می‌تواند مورد سوءاستفاده قرار گیرد.

هنگامی که احرازهویت فرمان فعال نباشد، ASA تنها بین کاربران غیرممتاز (سطح 0 و 1) و کاربران ممتاز (سطوح 2 تا 15) تمایز قایل می‌شود. انتظار می‌رود کاربران ممتاز (سطوح 2 تا 15) از طریق واسط مدیریتی وب دسترسی کامل مدیریتی حتی بدون دانستن گذرواژه به ASA داشته باشند،

با توجه به اینکه این آسیب‌پذیری تنها زمانی کار می‌کند که احرازهویت فرمان غیرفعال شده باشد، راه حل این آسیب‌پذیری شامل فعال‌سازی احراز هویت فرمان به‌منظور جلوگیری از سوءاستفاده است.

این امر به طور قابل توجهی حالتی را که در آن ASA سیسکو سطوح امتیاز و عملیات احراز هویت را تفسیر می‌کند، تغییر می‌دهد و مدیران باید عملیات مجاز در هر سطح امتیاز را تعریف کنند. به گفته‌ی سیسکو، مدیران نباید فرمان aaa فرمان احراز هویت را تا زمانی که این فعالیت‌ها را تعریف نکرده‌اند، فعال سازند.

مدیرانی که از مدیر دستگاه امنیتی سازگار (ASDM) برای مدیریت ASA استفاده می‌کنند، باید احرازهویت فرمان را از طریق ASDM فعال سازند تا مطمئن شوند عملیات ASDM مناسبی پس از فرمان احرازهویت فعال شده است.

نرم افزار ASA در حال اجرا بر روی هر محصول سیسکو که دسترسی مدیریت وب آن فعال است، تحت‌تأثیر این آسیب‌پذیری قرار گرفته است. نرم‌افزار Firepower Threat Defense تحت‌تأثیر این آسیب‌پذیر قرار نگرفته است.

سیسکو به مشتریان خود توصیه می‌کند به نسخه‌های پشتیبان‌شده (9.4.4.29، 9.6.4.20، 9.8.3.18، 9.9.2.36 یا 9.10.1.7) مهاجرت کنند.

بر اساس نتیجه‌گیری‌های سیسکو، برای اینکه رفع این آسیب‌پذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آن‌ها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است. به طور خاص، فرمان {LOCAL | } کنسول http احراز هویت aaa باید وجود داشته باشد.

انتهای پیام/

باشگاه خبرنگاران جوان علمی پزشکی فناوری