کمیته رکن چهارم – سیسکو پس از شناسایی بردارهای حملهی جدید و سایر ویژگیهایی که تحت تاثیر قرار گرفتند، برای یک آسیبپذیری بحرانی که برخی از تجهیزات امنیتی شرکت را تحت تاثیر قرار میداد دوباره وصلههایی منتشر کرده است و مشخص کرده که وصلهی اصلی آن کامل نبوده است.
غول شبکه در اواخر ماه ژانویه به مشتریان اطلاع داد که نرمافزار تجهیزات امنیتی انطباقی (ASA) به وسیلهی یک آسیبپذیری جدی تحت تاثیر قرار گرفتهاند و یک مهاجم راه دور و احرازهویت نشده میتواند از آن بهرهبرداری کند تا کد دلخواه را اجرا کند و یا وضعیت منع سرویس را به وجود آورد.
این آسیبپذیری، که با شناسهی CVE-۲۰۱۸-۰۱۰۱ ردیابی میشود، چند محصول را که نرمافزار ASA را اجرا میکنند تحت تاثیر قرار میدهد، که از جملهی این محصولات دیوارههای آتش Firepower، ۳ هزار سری تجهیزات امنیتی صنعتی، تجهیزات سری ASA ۵۰۰۰ و ۵۵۰۰، دیوارههای آتش ابری ۱۰۰۰V، مؤلفههای خدمات ASA برای مسیریابها و سوئیچها، و نرمافزار دفاع در برابر تهدید (Firepower (FTD هستند.
جزئیات دقیق این حفرهی امنیتی در تاریخ ۲ فوریه در یک کنفرانس توسط سِدریک هابرون، پژوهشگر گروه NCC که این اشکال را به سیسکو گزارش داده بود، افشاء شد.
گروه NCC در یک پست وبلاگی گفت: «این آسیبپذیری که با شناسهی CVE-۲۰۱۸-۰۱۰۱ شناخته شده به مهاجم این امکان را میدهد که از طریق سامانه هر گونه انتقال دادهای را مشاهده کند و همچنین برای آنها امتیازات مدیریتی ارائه میدهد، و آنها را قادر میسازد که از راه دور به شبکه دسترسی پیدا کنند. هدف قرار دادن این آسیبپذیری بدون هیچ بهرهبرداری خاصی به از کار افتادن دیوارهی آتش منجر میشود و به طور بالقوه اتصال به شبکه را مختل میکند.»
سیسکو در ابتدا به مشتریان گفت که این آسیبپذیری به ویژگی webvpn مربوط است، اما تجزیه و تحلیلهای بعدی، عاملان حمله و ویژگیهای آسیبدیدهی بیشتری را نشان داد.
در یک مشاورهی بهروزرسانیشده که روز دوشنبه منتشر شد، سیسکو گفت که این آسیبپذیری بیش از ۱۰ ویژگی را تحت تاثیر قرار میدهد.
یک پیکربندی خاص برای هر کدام از این ویژگیها، این آسیبپذیری را نمایان میکند، اما برخی از پیکربندیها برای دیوارههای آتشی که تحت تاثیر قرار گرفتهاند، مشترک هستند.
سیسکو پس از اینکه متوجه شد که وصلههای اولیه در برابر حملات منع سرویس آسیبپذیر هستند، اکنون مجموعهی جدیدی از وصلهها را منتشر کرده است.
عمر سانتوس، مهندس ارشد گروه پاسخگویی به حوادث امنیتی محصولات سیسکو (PSIRT) گفت: «با اینکه گروه پاسخگویی به حوادث امنیتی محصولات سیسکو از هیچ گونه سوءاستفادهای از این آسیبپذیری اطلاعی ندارد، اما سیسکو به شدت توصیه میکند که تمام مشتریان به یک نسخهای از نرمافزار ارتقاء پیدا کنند که این آسیبپذیری در آن برطرف شده است. این وصلهی پیشگیرانه به خصوص برای مشتریانی اهمیت دارد که دستگاهها و پیکربندی آنها از طریق افزایش سطح حمله بیشتر در معرض خطر قرار دارند.»
شرکت Cato Networks گزارش داد که حدود ۱۲۰ هزار دستگاه ASA با ویژگی webvpn وجود دارد که امکان دسترسی از اینترنت را فراهم میکند. علاوه بر این، برخی مدیران سامانه در مورد در دسترس قرار گرفتن وصلهها و زمان لازم برای اعمال آنها شکایت دارند.
یک مدیر سامانه در پست وبلاگی خود اظهار کرد که احتمالاً سیسکو ۸۰ روز قبل از انتشار یک مشاورهی امنیتی برای هشدار به مشتریان، کار وصله کردن این آسیبپذیری را آغاز کرده است.
وی گفت: «من برخی از این چالشهایی که سیسکو و همتایان آن با آنها روبرو هستند را درک میکنم. اما با این حال، مطمئن نیستم که مشتریان تمایلی برای قبول این مسأله داشته باشند که انتشار چنین مشاورهای ۸۰ روز پس از انتشار برخی وصلهها به تاخیر بیفتد. ۸۰ روز یک زمان طولانی است، به خصوص برای یک آسیبپذیری با امتیاز ۱۰ در نمرهدهی CVSS که دستگاههایی را تحت تاثیر قرار میدهد که معمولاً به طور مستقیم به اینترنت متصل هستند، زمان زیادی است.
سانتوس گفت که سیسکو مدت کوتاهی پس از اینکه متوجه شد این آسیبپذیری به صورت عمومی افشاء شده است، این مشاوره را منتشر کرد.
منبع : news.asis.io
