آسیبپذیریهای چندگانه در محصولات سیسکو، که میتواند منجر به اجرای کد از راه دور شود.
نظری اجمالی: آسیبپذیریهای چندگانهای در محصولات سیسکو کشف شده است که شدیدترین آن میتواند موجب اجرای کد از راه دور در سیستم آسیبپذیر شود. بسته به مجوزهای مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات و دادهها را مشاهده، تغییر یا حذف کند و یا حسابهای جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهرهبرداری از این آسیبپذیریها میتواند تاثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی پیکربندی شود. تهدید امنیتی: در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیبپذیریها در دنیای بیرون ارائه نشده است. سیستمهای تحت تاثیر این آسیبپذیریها: • Cisco Catalyst Switches • Cisco Embedded Service • Cisco Enhanced Layer 2/3 • Cisco Gigabit Ethernet Switch Module (CGESM) for HP • Cisco IE • Cisco ME 4924-10GE Switch • Cisco RF Gateway 10 • Cisco SM-X Layer 2/3 EtherSwitch Service Module • Cisco Aironet Series Access Points • Cisco Wireless Controllers • (Cisco Wireless LAN Controllers (WLCs • Cisco Firepower Management Center • Cisco Email Security Appliance • Cisco ASR 9000 Series Aggregation Services routers • Cisco Identity Services Engine • Cisco Prime Network Registrar • Cisco Registered Envelope Service • Cisco DNA Center • (Cisco Unified Communications Manager (Unified CM • Cisco UCS B-Series Blade Servers • Cisco Umbrella • (Cisco TelePresence Video communication Server (VCS ریسک پذیری و مخاطره: دولتی: • موسسات دولتی بزرگ و متوسط: زیاد • موسسات دولتی کوچک: متوسط کسب و کار و تجارت: • موسسات دولتی بزرگ و متوسط: زیاد • موسسات دولتی کوچک: متوسط کاربران خانگی: • کم خلاصه فنی: آسیبپذیریهای چندگانهای در محصولات سیسکو کشف شده است که شدیدترین آن میتواند موجب اجرای کد از راه دور در سیستم آسیبپذیر شود. جزئیات این آسیبپذیریها به شرح زیر است: • یک آسیبپذیری موجود در Cisco IOS و Cisco IOS XE و در کد پردازش پروتکل مدیریت گروهی سیسکو یا CMP آن، که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه بارگذاری مجدد دستگاه آسیبپذیر یا اجرای کد از راه دور با سطح دسترسی بالاتری را بدهد. CVE-2017-3881 • یک آسیبپذیری موجود در ماشین مجازی sysadmin و در روترهای سری Cisco ASR 9000 که دارای نسخه 64 بیتی نرمافزار Cisco IOS XR میباشند که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه دستیابی به برنامههای داخلی در حال اجرای VS sysadmin را بدهد. CVE-2019-1710 • زیرسیستم مدیریت پروتکل شبکه یا SNMP در IOS و IOS XE از سیسکو، دارای آسیبپذیریهای متعددی است که میتواند به مهاجم از راه دور اجازه اجرای کد از راه دور یا بارگذاری مجدد سیستم آسیبپذیر را بدهد. مهاجم می تواند با ارسال یک بسته SNMP آلوده به سیستم آسیبپذیر از طریق IPv4 یا IPv6، از این آسیبپذیریها بهرهبرداری کند. فقط میتوان از ترافیک هدایت شده به سیستم آسیبپذیر برای بهرهبرداری از این آسیبپذیریها استفاده کرد. CVE-2017-6736 CVE-2017-6737 CVE-2017-6738 CVE-2017-6739 CVE-2017-6740 CVE-2017-6741 CVE-2017-6742 CVE-2017-6743 CVE-2017-6744 • آسیبپذیریهای متعدد در مدیریت پیامهای پروتکل IAPP در نرمافزار (Cisco Wireless LAN Controller (WLC که میتواند به مهاجم تایید اعتبار نشده اجازه اجرای شرایط منع سرویس را بدهد. CVE-2019-1796 CVE-2019-1799 CVE-2019-1800 • آسیبپذیریهای چندگانه در پیکربندی مدیریتی رابط کاربری گرافیکی در نرمافزار (Cisco Wireless LAN Controller (WLC که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه دهد زمانی که مدیر با استفاده از این رابط کاربری گرافیکی منجر به شرایط منع سرویس در دستگاه آسیبپذیر میشود، دستگاه را به طور غیر منتظره در هنگام پیکربندی آن، مجدداً بارگذاری کند. مهاجم برای بهرهبرداری از این آسیبپذیری باید مجوز معتبر مدیریتی را در دستگاه داشته باشد. CVE-2018-0248 • یک آسیبپذیری در رابط مدیریت مبتنی بر وب نرم افزار (Wireless Controller Wireless (WLC سیسکو که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه اجرای حمله CSRF و انجام اقدامات دلخواه در دستگاه آسیبپذیر را با سطح دسترسی کاربری، مثل تغییر پیکربندی دستگاه را بدهد. CVE-2019-1797 • یک آسیبپذیری در ویژگی دفترچه تلفن در سرورهای ارتباط ویدیویی یا VCS سیسکو و سری Expressway سیسکو که میتواند به مهاجم از راه دور اجازه استفاده 100 درصدی از پردازنده را بدهد و باعث شرایط منع سرویس در سیستم آسیبپذیر شود. CVE-2019-1721 • یک آسیبپذیری در احراز هویت devshell در نقطه دسترسی سری Aironet از سیسکو با سیستم عامل Cisco AP-COS ، که میتواند به یک مهاجم محلی تایید اعتبار شده، اجازه دسترسی به devshell را بدون تأیید اعتبار مناسب بدهد که موجب دسترسی سطح روت به سیستم عامل اصلی لینوکس میشود. مهاجم برای بهرهبرداری از این آسیبپذیری به اعتبارنامههای معتبر دستگاه نیاز دارد. CVE-2019-1654 • یک آسیبپذیری در مکانیزمهای کنترل دسترسی خاص برای پیادهسازی سرور SSH برای نرمافزار Cisco Wireless Controller Wireless که میتواند به مهاجم تایید اعتبار نشده اجازه دسترسی به یک نمونه CLI در دستگاه آسیبپذیر را بدهد. CVE-2019-1805 • یک آسیبپذیری در مدیریت گواهی محلی یا LSC در نرمافزار (Wireless Controller Wireless (WLC که میتواند به مهاجم از راه دور اجازه راهاندازی مجدد دستگاه را به طور غیر منتظرهای بدهد که منجر به شرایط منع سرویس میشود. مهاجم باید دارای اعتبارنامههای معتبر مدیریتی باشد. CVE-2019-1830 • یک آسیبپذیری در مدیریت شناسایی نشست رابط کاربری مبتنی بر وب نرمافزار (Cisco Wireless Controller (WLC که میتواند به یک مهاجم از راه دور تایید اعتبار نشده اجازه هایجک یک نشست کاربری معتبر را در سیستم آسیبپذیر بدهد. CVE-2018-0382 • یک آسیبپذیری در URL صفحه بلوک Cisco Umbrella که میتواند به مهاجم از راه دور تایید هویت نشده، اجازه اجرای حمله XSS را علیه کاربر، در یک شبکه محافظت شده توسط Umbrella را بدهد. CVE-2019-1792 • یک آسیبپذیری در پیادهسازی مدیریت محلی CLI برای دستوراتی خاص بر روی سرورهای سری UCS B blade سیسکو که میتواند به مهاجم محلی تایید اعتبار شده اجازه دهد تا فایل دلخواه روی دیسک را بازنویسی کند. همچنین ممکن است مهاجم بتواند پارامترهایی از دستورات CLI را تزریق کند که نباید برای یک زیر مجموعه خاص از دستورات مدیریت محلی CLI مجاز باشد. CVE-2019-1725 • یک آسیبپذیری در API مربوط به سرویس دادههای کاربران یا UDS موجود در Unified CM که میتواند به مهاجم از راه دور و تایید اعتبار نشده، اجازه اجرای شرایط منع سرویس را در رابط گرافیکی مدیریتی بدهد. CVE-2019-1837 • یک آسیبپذیری در ویژگی نرمافزار مدیریت تصویر مرکز DNA سیسکو که میتواند به یک مهاجم از راه دور اجازه دسترسی به سرویسهای داخلی را بدون احراز هویت اضافی بدهد. CVE-2019-1841 • یک آسیبپذیری در رابط کاربری مبتنی بر وب سرویس Registered Envelope از سیسکو که میتواند به مهاجم از راه دور تأیید اعتبار شده اجازه اجرای حمله XSS را علیه کاربر دیگری از این سرویس بدهد. CVE-2019-1777 • یک آسیبپذیری در پردازشگر بستههای ورودی DHCPv6 در Prime Network Registrar سیسکو که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه راهاندازی مجدد سرور را بدهد و شرایط منع سرویس را در سیستم آسیبپذیر ایجاد کند. CVE-2019-1840 CVE-2019-1719 • یک آسیبپذیری در رابط وب موتور تشخیص سرویسهای سیسکو یا ISE که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه بالابردن کارکرد CPU را بدهد و درنتیجه شرایط منع سرویس را منجر شود. CVE-2019-1718 • یک آسیبپذیری در ویژگی بررسی TCP flag برای ACL های موجود در روترهای سری ASR 9000 سیسکو که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه دور زدن حفاظت ACL های پیکربندی شده بر روی دستگاه آسیبپذیر را بدهد. CVE-2019-1686 • یک آسیبپذیری در ویژگی (Multicast Independent Multilingual (PIM که در IOS XR میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه راه اندازی مجدد فرایند PIM را بدهد و منجر به شرایط منع سرویس در دستگاه آسیبپذیر شود. CVE-2019-1712 • یک آسیبپذیری در emsd از IOS XR سیسکو که میتواند به مهاجم راه دور تایید اعتبار نشده اجازه اجرای شرایط منع سرویس را در دستگاه آسیبپذیر بدهد. CVE-2019-1711 • یک آسیبپذیری در ویژگی FindMe در سری Expressway سیسکو و سرور ارتباطات ویدیویی سیسکو یا VCS که میتواند به مهاجم از راه دور تایید اعتبار نشده اجازه اجرای حملات CSRF و انجام اقدامات دلخواه در سیستم آسیبپذیر را بدهد. CVE-2019-1722 • یک آسیبپذیری اسکن پیامهای ایمیل سیسکو در AsyncOS برای دستگاه امنیت ایمیل سیسکو یا ESA که میتواند به مهاجم از راه دور تایید اعتبار نشده، اجازه از بین بردن فیلترهای محتوای پیکربندی شده در دستگاه را بدهد. CVE-2019-1831 • یک آسیبپذیری در رابط مدیریت مبتنی بر وب مرکز Firepower Management سیسکو یا FMC که میتواند به مهاجم از راه دور اجازه اجرای حمله XSS را علیه یک کاربر رابط مدیریت مبتنی بر وب در سیستم آسیبپذیر را بدهد. CVE-2019-1802 • یک آسیبپذیری در API XML از سری Expressway سیسکو و سرور ارتباطات ویدیویی سیسکو یا VCS که میتواند به مهاجم از راه دور اجازه استفاده 100 درصدی از پردازنده را بدهد و باعث شرایط منع سرویس در سیستم آسیبپذیر شود. CVE-2019-1720 • یک آسیبپذیری در مسیر پردازش اتصال دایرکتوری سیسکو که میتواند به مهاجم محلی تایید اعتبار شده، اجازه بارگذاری باینری دلخواه را بدهد. CVE-2019-1794 • یک آسیبپذیری در CLI از نقطه دسترسی Aironet سیسکو که میتواند به مهاجم محلی تایید اعتبار نشده اجازه دسترسی به اطلاعات حساس ذخیره شده در AP را بدهد. CVE-2019-1835 • یک آسیبپذیری در پردازش بستههای داخلی در نقطه دسترسیهای سری Aironet سیسکو که میتواند به مهاجم تایید اعتبار نشده، اجازه اجرای شرایط منع سرویس را در AP آسیبپذیر بدهد، البته به شرطی که رابط کاربری سویچی که AP آن متصل است، پورتهای امنیتی پیکربندی شده داشته باشد. CVE-2019-1834 • یک آسیبپذیری در CLI از نقطه دسترسیهای سری Aironet سیسکو که میتواند به مهاجم محلی تایید اعتبار شده، اجازه دسترسی به سیستم عامل اصلی لینوکس را بدون احراز هویت درست بدهد. CVE-2019-1829 • یک آسیبپذیری در کیفیت خدمات یا QoS از نقطه دسترسیهای سری Aironet سیسکو که میتواند به مهاجم تایید اعتبار شده، اجازه اجرای شرایط منع سرویس را در دستگاه آسیبپذیر بدهد. CVE-2019-1826 بهرهبرداری موفق از شدیدترین این آسیبپذیریها میتواند منجر به اجرای کد دلخواه در سیستم آسیبپذیر شود. بسته به مجوزهای مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات و دادهها را مشاهده، تغییر یا حذف کند و یا حسابهای جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهرهبرداری از این آسیبپذیریها میتواند تاثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی پیکربندی شود. توصیهها: • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائهشده توسط سیسکو به سیستمهای آسیبپذیر اعمال شود. • برای کاهش اثرات حمله موفقیتآمیز، همه نرمافزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید. • تذکر به کاربران برای بازدید نکردن وبسایتهای با منبع نامعتبر و همچنین دنبال نکردن لینکهای ناشناس. • اطلاعرسانی و آموزش کاربران در مورد تهدیدات ناشی از لینکهای ابرمتن موجود در ایمیلها یا ضمیمهها مخصوصا از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را به تمام سیستمها و سرویسها اعمال کنید.
مرکز ماهر
دانشگاه کردستان