هشدار: آسیب پذیری اجرای کد از راه دور در محصولات سیسکو

کمیته رکن چهارم – اخیرا سیسکو تعدادی به روزرسانی امنیتی را برای رفع آسیب پذیری های مختلف در محصولات خود منتشر کرده است. همه این آسیب پذیری ها به مهاجمان سایبری امکان اجرای کد از راه دور بر روی PC هدف را می دهند تا هکرها بتوانند سطح دسترسی ادمین را بدست آورند. سیسکو تا آگوست امسال ۴۷ آسیب پذیری را در محصولات خود شناسایی کرده که یکی از آنها به شدت “Critical” می باشد، ۹ مورد از آنها در سطح Critical و بقیه با سطح High طبقه بندی شده اند.

تمامی این آسیب پذیری ها می توانند اجازه عبور از فرآیند احراز هویت LDAP، دسترسی ادمین، دسترسی بدون کنترل مسیریاب ها، گواهی های پیش فرض، افزایش سطح دسترسی یا انکار سرویس را فراهم کنند.

آسیب پذیری هایی که به عنوان خطرناک ترین شناخته شده اند

کارشناسان امنیتی سیسکو ۱۰ آسیب پذیری را از بین ۴۷ مورد شناسایی شده جزو خطرناکترین آنها ثبت کرده اند که در ادامه به آنها می پردازیم:

1. Cisco vWAAS for Cisco ENCS 5400-W Series and CSP 5000-W Series Default Credentials Vulnerability (Critical)
2. Cisco Smart Software Manager On-Prem Privilege Escalation Vulnerability (High)
3. Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerabilities (High)
4. Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability (High)
5. Cisco Webex Meetings Desktop App and Webex Meetings Client URL Filtering Arbitrary Program Execution Vulnerability (High)
6. GRUB2 Arbitrary Code Execution Vulnerability (High)
7. Cisco Small Business Smart and Managed Switches Denial of Service Vulnerability (High)
8. Cisco DNA Center Information Disclosure Vulnerability (High)
9. Cisco StarOS IPv6 Denial of Service Vulnerability (High)
10. Cisco Small Business RV Series Routers Command Injection Vulnerabilities (High)

گزارش تجزیه و تحلیل دقیق 

Cisco vWAAS for Cisco ENCS 5400-W Series and CSP 5000-W Series Default Credentials Vulnerability (Critical)

این نقص موجب میگردد تا یک هکر از راه دور وارد NFVIS CLI یک دستگاه آلوده با استفاده از حساب های پیش فرض شود. دلیل وجود آسیب پذیری این است که نرم افزار آلوده دارای حساب کاربری پیش فرض و رمزهای استاتیک است.

شخص هکر می تواند به NFVIS CLI یک دستگاه آلوده دسترسی پیدا کند و با ورود به سیستم CLI از این آسیب پذیری بهره برداری کند.

محصولات آسیب پذیر:

این آسیب پذیری جدید می تواند دستگاه های Cisco ENCS 5400-W Series و CSP 5000-W Series را آلوده کند.

۲٫ Cisco Smart Software Manager On-Prem Privilege Escalation Vulnerability (High)

آسیب پذیری در مدیریت هوشمند نرم افزار سیسکو On-Perm Privilege Escalation یک مهاجم سایبری را قادر می سازد تا دستورات خود را در سطوح دسترسی بالا اجرا کند. این آسیب پذیری به دلیل مجوز نامناسب در سیستم عامل رخ می دهد. شخص هکر می تواند تنها با ورود به سیستم و اجرای مجموعه ای از اقدامات، از این آسیب پذیری بهره برداری کند.

۳٫ Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerabilities (High)

هکرها با استفاده از این آسیب پذیری می توانند کد را از راه دور خود را اجرا کنند یا باعث لود مجدد یک دوربین IP آلوده شوند. شخص هکر می تواند با انتقال یک بسته ضعیف Cisco Discovery Protocol به دوربین IP هدفمند، از این آسیب پذیری ها بهره برداری کند

۴٫Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability (High)

یک مهاجم با دسترسی Local می تواند با استفاده از این آسیب پذیری اقدام به سرقت DLL کند. هکرها برای بهره برداری از این نقص امنیتی نیاز به داشتن گواهی های معتبر در سیستم ویندوز دارند. شخص هکرمی تواند با انتقال پیام IPC دستکاری شده به روش AnyConnect ، از این آسیب پذیری به راحتی بهره برداری کند.

یک اکسپلویت موفق می تواند مهاجم را قادر سازد تا کد دلخواه خود را با استفاده از دسترسی SYSTEM روی دستگاه آلوده اجرا کند

۵٫ Cisco Webex Meetings Desktop App and Webex Meetings Client URL Filtering Arbitrary Program Execution Vulnerability (High)

این آسیب پذیری به هکرها امکان اجرای برنامه های خود را بر روی یک سیستم کاربر (کلاینت) آلوده اجرا کنند. دلیل وقوع این آسیب پذیری ناشی از اعتبار نادرست ورودی است که به URL های برنامه ارائه می شود.

هکرها می توانند با متقاعد کردن یک کاربر و کلیک بر روی یه URL مخرب، از این آسیب پذیری بهره برداری کنند. پس از آن شخص مهاجم قادر خواهد بود تا برنامه خود را حبه راحتی اجرا کند.

۶٫ GRUB2 Arbitrary Code Execution Vulnerability (High)

این آسیب پذیری به دلیل بررسی نادرست فایل پیکربندی GRUB2 رخ می دهد. در اینجا شخص مهاجم می تواند با تهیه یک فایل پیکربندی دستکاری شده برای GRUB2 از این آسیب پذیری بهره برداری کند.

یک بهره برداری موفق می تواند مهاجم را قادر سازد تا قبل از ذخیره شدن سیستم عامل در سیستم مورد نظر ، کد دلخواه خود را وارد کند.

۷٫ Cisco Small Business Smart and Managed Switches Denial of Service Vulnerability (High)

این آسیب پذیری می تواند شخص هکر را قادر سازد تا شرایط حمله انکار سرویس (DoS) را در دستگاه آسیب دیده ایجاد کند. این آسیب پذیری به دلیل اعتبارسنجی نامناسب ترافیک ورودی IPv6 رخ می دهد.

شخص مهاجم می تواند با انتقال یک بسته IPv6 دستکاری شده از طریق دستگاه آسیب دیده  از این آسیب پذیری بهره برداری کند. پس از بهره برداری، هکر می تواند سوئیچ را با شرایط DOS راه اندازی مجدد کند

محصولات آسیب پذیر:

• ۲۵۰ Series Smart Switches
• ۳۵۰ Series Managed Switches
• ۳۵۰X Series Stackable Managed Switches
• ۵۵۰X Series Stackable Managed Switches
• Small Business 200 Series Smart Switches
• Small Business 300 Series Managed Switches
• Small Business 500 Series Stackable Managed Switches

۸٫ Cisco DNA Center Information Disclosure Vulnerability (High)

هکرها با استفاده از این آسیب پذیری می توانند به اطلاعات حساس در یک سیستم آلوده دسترسی پیدا کنند. این نقص امنیتی به دلیل استفاده نادرست از توکن های احراز هویت توسط نرم افزار آلوده رخ می دهد.

هکرها می توانند با انتقال یک درخواست HTTP دستکاری شده به یک دستگاه آلوده از این آسیب پذیری بهره برداری کرده وپس از موفقیت به اطلاعات حساس سیستم دسترسی پیدا کنند.

۹٫Cisco StarOS IPv6 Denial of Service Vulnerability (High)

این نقص امنیتی به یک مهاجم غیرمجاز اجازه می دهد از راه دور حمله انکار سرویس (DoS) را بر روی دستگاه آسیب دیده ایجاد کند. این آسیب پذیری به دلیل اعتبارسنجی نامناسب ترافیک ورودی IPv6 رخ می دهد.

شخص مهاجم می تواند با انتقال یک بسته IPv6 دستکاری شده از طریق دستگاه آسیب دیده  از این آسیب پذیری بهره برداری کند. پس از بهره برداری، هکر می تواند سوئیچ را با شرایط DOS راه اندازی مجدد کند.

۱۰٫ Cisco Small Business RV Series Routers Command Injection Vulnerabilities (High)

مهاجمان سایبری با استفاده از این آسیب پذیری می توانند از سطح دسترسی ادمین برای اجرای دستورات دلخواه بر روی یک دستگاه آسیب دیده برخوردار شوند. این نقص به دلیل وجود رابط مدیریت مبتنی بر وب است که به درستی اعتبار ورودی عرضه شده توسط کاربر را تأیید نمی کند.

اکسپلویت موفق، هکر را قادر سازد تا دستورات دلخواه خود را با دسترسی ادمین در سیستم عامل اجرا کند.

محصولات تحت تاثیر:

• RV016 Multi-WAN VPN: 4.2.3.10 and earlier
• RV042 Dual WAN VPN: 4.2.3.10 and earlier
• RV042G Dual Gigabit WAN VPN: 4.2.3.10 and earlier
• RV082 Dual WAN VPN: 4.2.3.10 and earlier
• RV320 Dual Gigabit WAN VPN: 1.5.1.05 and earlier
• RV325 Dual Gigabit WAN VPN: 1.5.1.05 and earlier

راه‌حل:

شما باید مطابق با محصولات اعلام شده توسط کارشناسان امنیتی سیسکو که تحت تاثیر آسیب پذیری ها قرار دارند ، به روزرسانی های مربوطه را اعمال کنید.