روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از میان سخنرانی‌های بسیار در کنفرانس بلک‌هت آگست 2022، برخی برای مدیران امنیتی و ادمین‌های سیستم کاربرد اجرایی داشتند. یکی از سخنرانی‌های جذاب مربوط می‌شد به محققی به نام جیکوب بینز که به تفصیل توضیح داد چطور نرم‌افزار سازمانی سیسکو را تحلیل کرده و در آن چندین آسیب‌پذیری کشف کرده است. در ادامه قرار است به یافته‌های جیکوب بپردازیم. با ما همراه شوید.

یافته‌های جیکوب در قالب گزارشی مبسوط به صورت اسلاید و در گیت‌هاب به صورت مجموعه‌ای از ابزارها وجود دارد. او در واقع 10 باگ پیدا کرد که  Cisco Adaptive Security Software، Adaptive Security Device Manager و Firepower Services Software for ASA را آلوده کرده بودند. این راهکارهای نرم‌افزاری انواعی از سیستم‌های سیسکو را برای کاربران سازمانی کنترل می‌کنند؛ از جمله فایروال‌های سخت‌افزاری، راهکارهای امنیتیِ سازمانیِ انتها به انتها[1]. هفت باگ از میان باگ‌های کشف‌شده در سیسکو آسیب‌پذیری خوانده می‌شوند و این درحالیست که سه تای دیگر لایه امنیتی را خدشه دار نمی‌کنند. زمان افشا، دو آسیب‌پذیری از بین آن هفت آسیب‌پذیری بسته نشده بودند؛ هرچند  Rapid7 این مسئله را فوریه/مارس 2022 به سیسکو گوشزد کرده بود (آسیب‌پذیری دیگر به نظر بعدها بسته شد).

و آسیب‌پذیری‌ها...

بگذارید به دو مورد که ارزش بررسی دارند بپردازیم. آسیب‌پذیری  CVE-2022-20829 مربوط به متود تحویل آپدیت که نرم‌افزار  Cisco ASA به کار می‌برد. این باگ نسبتاً جزئی است: پکیج‌های باینری آپدیت در طول نصب اعتبار ندارند؛ هیچ تأییدیه‌ی امضای دیجیتال یا چیزی شبیه به این وجود ندارد. Rapid7 نشان داد چطور می‌شود پکیج‌های Cisco ASDM را برای اجرای کد دلخواه (موقع پردازش) دستکاری کرد. آسیب‌پذیری دوم که مهم است با اسم CVE-2021-1585 شناخته شده و اواخر 2020 توسط محققی به نام مالکولم لشلی کشف شد. او متوجه شده بود که وقتی آپدیت‌ها ارسال می‌شوند، گواهی نیاز داشت از طریق دست‌دهیِ TLS (پروتکلی برای ایجاد ارتباط امن در شبکه اینترنت) به کانکشن امنی برسد اما پردازش اشتباه انجام می‌شد. این در عوض به مهاجم اجازه می‌داد تا حمله مرد میانی را روی کلاینت‌های سیسکو پیدا کند؛ بدان‌معنا که منبع خود را به جای منبع آپدیت قانونی بگذارد. این ارسال و اجرای مد مخرب را به جای پچ ممکن می‌ساخت . چنین آسیب‌پذیری تاریخچه جذابی دارد: مالکوم لشلی آن را دسامبر 2020 به سیسکو گزارش کرده بود.

این شرکت جولای 2021 جزئیات آسیب‌پذیری را بدون هیچ پچی منتشر نمود. این آسیب‌پذیری جولای 2022 در پرتال داخلی کلاینت‌های سیسکو «بسته» نشانه‌گذاری شد. اما Rapid7 اذعان داشت این آسیب‌پذیری هنوز باز است: اگر هم پچی برایش منتشر شده افاقه نکرده. نمی‌توان سایر آسیب‌پذیری‌ها را جزئی قلمداد کرد. برای مثال CVE-2022-20828 را می‌شود برای حمله به ادمین سیستم (از طریق دسترسی ریموت) استفاده کرد. این دمو نمونه‌ایست از اینکه چطور مهاجم احتمالی می‌تواند با وارد کردن یک فرمان کنترل کل سیستم را در دست گیرد. افزون بر این، Rapid7 پی برد ماژول‌های بوت  FirePOWER به هیچ وجه اسکن نشده‌اند. این یعنی اگر هر آسیب‌پذیری در نرم‌افزار بسته شده بوده همیشه این امکان هست که باز راهش به تصویر بوت باز شود (منظورمان همان نسخه پچ‌نشده است). با وجود پتانسیل استفاده از چنین آسیب‌پذیری‌ای برای اجرای حملات واقعی، سیسکو هنوز اینها را مسئله امنیتی جدی نمی‌داند!

دشواری‌های تحویل آپدیت

این آسیب‌پذیری‌ها نشان می‌دهند حتی در نرم‌افزار سازمانی که از راهکارهای سازمانی رده بالایی برخوردار است هم سیستم تحویل آپدیت می‌تواند به مشکل بربخورد. همین چند وقت پیش بود که در مورد مشکلی در نرم‌افزار کلاینت وبیِ زوم برای دستگاه‌های اپل نوشتیم (این دو خبر به لحاظ مفهومی با هم مشابه هستند). پروسه‌ی چک آپدیت به نظر امن می‌آمد: دسترسی به سرور از طریق کانکشن امن انجام و فایل آپدیت هم دیجیتالی امضا شده بود. اما رویه‌ی تأیید امضا اجازه می‌داد هر چیزی به جای فایل قابل‌اجرای قانونی اجرا شود (و بالاترین مزایا را از آن خود کند).

همچنین نمونه‌ای وجود دارد از آپدیت‌های مخرب که در حملات واقعی دارند استفاده می‌شوند. سال 2018 محققین کسپرسکی این متود را در کمپین Slingshot APT شناسایی کردند که سعی داشتند روترهای Mikrotik را دستکاری کنند. در مورد پرونده سیسکو، تأیید امضای دیجیتال آپدیت‌های پکیج باینری ASDM نیازی به دور زدن نداشت: اصلاً وجود نداشت (مکانیزمی که آگست 2022 سر و کله‌اش پیدا شد اما قابلیت اطمینانش هنوز اثبات نشده). با این همه اگر بخواهیم راستش را بگوییم، همه حملاتی که محققین در بلک‌کت ارائه دادند اجرایی شدنشان سخت است. اما از آنجایی که سیسکو شرکت بزرگی است و اگر یک درصد حملات اجرایی شوند خسارات زیادی بابت رمزگذاری فایل یا سرقت اسرار تجاری متحمل می‌شود، باید این ریسک را جدی گرفت.

باید چه کار کرد؟

با توجه به جزئیات این آسیب‌پذیری‌ها، توصیه اصلی محققین Rapid7 این است که تا حد امکان حوزه اعمال ادمین را محدود کنید. و این فقط به داشتن مزایای بالا مانند کانکت شدن به زیرساخت از راه دور اشاره نمی‌کند. نمونه‌های زیادی وجود دارد که نشان می‌دهد ایزوله‌سازی آفلاین هم باز نمی‌تواند تماماً جلوی یک هک را بگیرد-برای مثال آپدیت‌های مخرب یا یک اسکریپت ساده که آسیب‌پذیری نرم‌افزاری را اکسپلویت کند کار را خراب می‌کند. نظارت دقیق افرادی که دسترسی کامل به زیرساخت دارند و نیز محدود کردن اقدامات ادمین می‌تواند ریسک حمله موفق را پایین بیاورد. اما این ریسک تماماً از بین نمی‌رود و داستان امنیتی همچنان ادامه دارد...

[1] END TO END

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.