وجود یک آسیب‌پذیری در بسیاری از دستگاه‌های شرکت سیسکو

اخبار حوزه امنیت خبر از وجود آسیب‌پذیری‌هایی در ده‌ها هزار از دستگاه‌های دارای نرم‌افزار ASA شرکت سیسکو می‌دهند. بررسی‌ها نشان می‌دهد که این نرم‌افزار دارای آسیب‌پذیری‌هایی است که یک گروه نفوذ مجازی با نام Shadow Brokers به راحتی می‌تواند از آن‌ها بهره‌برداری کند.

گروه Shadow Brokers چندی پیش صدها مگابایت از بهره‌برداری‌های دیوار آتش را در اینترنت افشا کرد که این بهره‌برداری‌ها در حقیقت از یک گروه نفوذ مربوط به شورای امنیت ملی آمریکا با نام Equation Group به سرقت رفته بود. یکی از این بهره‌برداری‌ها شامل یک آسیب‌پذیری روز-صفرم مربوط به نرم‌افزار ASA سیسکو بود که برای انجام یک بهره‌برداری با نام Extrabacon مورد استفاده قرار گرفته بود.

شرکت سیسکو تنها پس از ۱۰ روز از اعلام این افشاء، اقدام به طراحی وصله‌های لازم برای این نرم‌افزار کرد. تاکنون، تنها دو نسخه از این نرم‌افزار بدون وصله هستند. در عین حال، محققان شرکت امنیتی Rapid۷ پس از بررسی‌های خود در این خصوص اعلام کردند که برخی آسیب‌پذیری‌ها هنوز هم در این نرم‌افزار مشاهده می‌شوند.

محققان شرکت Rapid۷ با استفاده از محصول Project Sonar خود یک پویش اینترنتی را در این خصوص انجام داد و نتایج حاصل از این اقدام نشان داد که بیش از ۵۰ هزار از دستگاه‌های شرکت سیسکو این آسیب‌پذیری را دارند که نیمی از این تعداد در آمریکاست. در لیست سازمان‌ها و شرکت‌هایی که از این ابزارها استفاده می‌کنند، نام شرکت‌های بزرگی مانند یک شرکت ژاپنی خدمات ارتباط از راه دور، شرکت‌های فناوری و سلامت عمومی در آمریکا، سازمان‌های خدمات مالی و دولتی در انگلستان، یک شرکت خدمات فناوری در سوئد، یک شرکت برزیلی خدمات ارتباط از راه دور، یک دانشگاه در کانادا و چندین بخش خدمات جهانی مشاهده می‌شوند.

از آنجایی که در برخی کشورها، انجام پویش‌های اینترنتی با استفاده از اطلاعات ورود به حساب‌ها ممنوع و غیرقانونی است، شرکت Rapid۷ با استفاده از یک تحلیل‌گر بسته TCP/IP و دستورمحور با نام hping، اقدام به شناسایی دستگاه‌های فاقد وصله کرد. این تحلیل‌گر به کارشناسان این امکان را می‌دهد که بررسی کنند از زمان طراحی وصله‌های نرم‌افزار ASA توسط شرکت سیسکو، چه تعدادی از دستگاه‌ها به دلیل نصب طراحی‌ها بازراه‌اندازی شده‌اند.

از میان ۵۰ هزار دستگاه فاقد وصله‌ها، ۱۲ هزار به دلایلی موردبررسی قرار نگرفتند و حدود ۱۵ هزار دستگاه نیز پس از طراحی وصله‌ها بازراه‌اندازی شده بودند. این مسئله نشان می‌دهد که حدود ۳۸ درصد دستگاه‌های فاقد وصله، اینک وصله‌ها را دارند.

بررسی‌های بیشتر در این خصوص نشان می‌دهد که بهره‌برداری انجام‌شده توسط گروه نفوذ Shadow Brokers برای نفوذ به نسخه‌های قدیمی‌تر نرم‌افزار ASA انجام شده‌اند و محققان شرکت Silent Signal نیز در همین حال اعلام کردند که می‌توان این بهره‌برداری را به راحتی برای نسخه‌های جدید این نرم‌افزار نیز استفاده کرد.

شرکت Rapid۷ نیز در این خصوص اعلام کرد که اگرچه شرکت سیسکو در ابتدا هشدارهایی را در مورد وجود این خطر در مورد تمامی نسخه‌های نرم‌افزار ASA اعلام کرد، اما بسیاری از سازمان‌ها که از نسخه‌های جدید استفاده می‌کنند، ممکن است هنوز هم خطر مطرح‌شده در اعلامیه شرکت Silent Signal در تاریخ ۲۵ آگوست را دست‌کم بگیرند و در این خصوص باید هوشیار بود.

اشکال نرم‌افزار ASA که مربوط به پروتکل مدیریت شبکه ساده (SNMP) بوده و دارای شناسه CVE-۲۰۱۶-۶۳۶۶ است، می‌تواند توسط نفوذگران از راه دور برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد. در عین حال، شرکت سیسکو و کارشناسان آن یادآور شدند که بهره‌برداری از این آسیب‌پذیری کار ساده‌ای نیست، ‌زیرا نفوذگر برای این منظور باید احراز هویت شده باشد و همچنین باید رشته‌ی انجمنی پروتکل SNMP مشخص باشد. این رشته‌ی انجمنی در اصل کلمه عبوری است که برای محدود کردن دسترسی به اطلاعات این پروتکل مورد استفاده قرار می‌گیرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.