رفع آسيب‌‌پذيری افزايش امتياز در تجهيزات امنيتی سازگار سيسکو

رفع آسيب‌‌پذيری افزايش امتياز در تجهيزات امنيتی سازگار سيسکو

یک ‫آسیب‌پذیری در نرم‌افزار تجهیزات امنیتی سازگار (ASA) سیسکو کشف شده است که به یک مهاجم اجازه می‌دهد فایل‌ها را بازیابی یا تصاویر نرم‌افزار را بر روی یک دستگاه جایگزین کند. این نقص امنیتی که به صورت CVE-2018-15465 ردیابی می‌شود، می‌تواند توسط یک مهاجم احراز‌هویت‌نشده و راه دور مورد سوءاستفاده قرار گیرد تا عملیات ممتاز را بااستفاده از واسط مدیریتی وب انجام دهد. برای سوءاستفاده از این نقص لازم است مهاجم درخواست‌های HTTP خاصی را از طریق HTTPS به یک دستگاه متأثر به عنوان یک کاربر غیرممتاز ارسال نماید. مهاجم با سوءاستفاده از این نقص می‌تواند پیکربندی در حال اجرا را تغییر دهد یا دانلود کند و همچنین سفت‌افزار تجهیزات را آپلود یا جایگزین نماید. مهاجم می‌تواند سفت‌افزار را با نسخه‌ی قدیمی‌تر آن جایگزین کند و سپس از آسیب‌پذیری‌های شناخته‌شده‌ی موجود در آن، سوءاستفاده نماید. مشکل این است که مجوزهای کاربر هنگام استفاده از واسط مدیریتی وب به‌درستی اعتبارسنجی نمی‌شوند و هنگامی که احرازهویت فرمان (command authentication) در تجهیزات امنیتی سازگار سیسکو غیرفعال باشد (وضعیت پیش‌فرض) می‌تواند مورد سوءاستفاده قرار گیرد. هنگامی که احرازهویت فرمان فعال نباشد، ASA تنها بین کاربران غیرممتاز (سطح 0 و 1) و کاربران ممتاز (سطوح 2 تا 15) تمایز قایل می‌شود. انتظار می‌رود کاربران ممتاز (سطوح 2 تا 15) از طریق واسط مدیریتی وب دسترسی کامل مدیریتی به ASA داشته باشند، حتی بدون دانستن گذرواژه. با توجه به اینکه این آسیب‌پذیری تنها زمانی کار می‌کند که احرازهویت فرمان غیرفعال شده باشد، راه حل این آسیب‌پذیری شامل فعال‌سازی احرازهویت فرمان به‌منظور جلوگیری از سوءاستفاده است. این امر به طور قابل توجهی حالتی را که در آن ASA سیسکو سطوح امتیاز و عملیات احرازهویت را تفسیر می‌کند، تغییر می‌دهد و مدیران باید عملیات مجاز در هر سطح امتیاز را تعریف کنند. به گفته‌ی سیسکو، مدیران نباید فرمان aaa فرمان احرازهویت را تا زمانی که این فعالیت‌ها را تعریف نکرده‌اند، فعال سازند. مدیرانی که از مدیر دستگاه امنیتی سازگار (ASDM) برای مدیریت ASA استفاده می‌کنند، باید احرازهویت فرمان را از طریق ASDM فعال سازند تا مطمئن شوند عملیات ASDM مناسبی پس از فرمان احرازهویت فعال شده است. نرم افزار ASA در حال اجرا بر روی هر محصول سیسکو که دسترسی مدیریت وب آن فعال است، تحت‌تأثیر این آسیب‌پذیری قرار گرفته است. نرم‌افزار Firepower Threat Defense تحت‌تأثیر این آسیب‌پذیر قرار نگرفته است. سیسکو به مشتریان خود توصیه می‌کند به نسخه‌های پشتیبان‌شده (9.4.4.29، 9.6.4.20، 9.8.3.18، 9.9.2.36 یا 9.10.1.7) مهاجرت کنند. بر اساس نتیجه‌گیری‌های سیسکو، برای اینکه رفع این آسیب‌پذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آن‌ها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است. به طور خاص، فرمان {LOCAL | } کنسول http احراز هویت aaa باید وجود داشته باشد.