به گزارش روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ در بسیاری از برنامه‌های امنیتی سیسکو پروتکل امنیتی SSH به‌طور پیش‌فرض گنجانده شده؛ کلیدی که مهاجمان به‌عنوان یک آسیب‌پذیری از از آن استفاده می‌کنند تا به‌سادگی به برنامه‌ها نفوذ و دستورات دلخواه خود را اعمال کنند. سیسکو اعلام کرد سه برنامه Web Security Virtual Appliances، Email Security Virtual Appliances و Control Security Management Virtual Appliances به‌وسیله این آسیب‌پذیری آلوده است.

اما این حفره از آن جهت اهمیت دارد که ممکن است عملیات سازمان‌ها و کسب و کارها را مختل کند. هکرهایی که پروتکل پیش‌فرض SSH را کشف و به آن دسترسی پیدا کنند در عمل می‌توانند تمام داده‌های ترافیکی را رمزگشایی کنند. این درحالیست سهم بالای محصولات سیسکو در بازارهای جهانی امنیت دامنه وسیعی از سازمان‌ها را به‌خطر می‌اندازد. از قرار معلوم این کلید پیش‌فرض برای پشتیبانی نرم‌افزاری در دل محصولات سیسکو گنجانده شده بود.

تیم مشاوره سیسکو در بیانیه‌ای اعلام کرد: «وجود یک آسیب‌پذیری در قابلیت پشتیبانی راه دور سه محصول نرم‌افزاری Cisco WSAv، Cisco ESAv و Cisco SMAv به مهاجمان امکان می‌دهد از راه دور به سیستم‌های آلوده با سطح دسترسی کاربران root نفوذ کنند.»

در قسمت دیگری از این بیانیه آمده است: «این آسیب‌پذیری ناشی از کلید پیش‌فرض و معتبر SSH می‌شود که در سه برنامه WSAv، ESAv و SMAv مشترک است. مهاجمان می‌توانند از طریق این آسیب‌پذیری به کلید محرمانه SSH دسترسی پیدا کرده و از آن برای اتصال به WSAv، ESAv یا SMAv استفاده کنند. این حفره دسترسی به سیستم‌ها را با سطح دسترسی کاربر root ممکن می‌سازد.»

به گفته محققان، حفره امنیتی سیسکو آسیب‌پذیری منحصر به فردی نیست و وجود حفره‌های مشابه در برنامه‌های دیگر از ضعف بزرگی در صنعت امنیت نرم‌افزاری حکایت می‌کند.

تاد بردزلی، مدیر مهندسی امنیت شرک Rapid7 می‌گوید: «اغلب ناشران میان‌افزار به‌خوبی آگاهند که سیستم مدیریت راه دور برپایه پروتکل Telnet امنیت چندانی ندارد و به همین دلیل استفاده از کنسول‌های مدیریتی مبتنی بر پروتکل SSH رو به افزایش است. متاسفانه گه‌گاه دیده شده که ناشران میان‌افزار به‌طور اشتباهی یک کلید پیش‌فرض SSH را در تمام محصولات خود به‌کار می‌برند. SSH بی‌تردید بهتر از Telnet است، اما مهاجمان کافیست تنها به یکی از سیستم‌های که SSH روی آن نصب شده نفوذ کنند تا به تمام سیستم‌های مشابه نیز دسترسی پیدا کنند.

«در برخورد با سیستم‌های آسیب‌پذیری که پروتکل SSH روی آنها راه‌اندازی شده به ناشران میان‌افزارها توصیه می‌کنیم از طریق عملیات First Boot کلید SSH منحصر به فردی را برای هر دستگاه الکترونیکی تعریف کنند. به این ترتیب پروتکل هر کاربر منحصر به همان کاربر خواهد بود. توجه داشته باشید پورت ورود به اینترنت روی سیستم‌های دارای پروتکل SSH اغلب بسته است، بنابراین مهاجمان می‌بایست به شبکه محلی دسترسی داشته باشند (خواه شبکه فیزیکی یا VPN که دسترسی به محصولات سیسکو را امکان‌پذیر می‌کند).

«برای مقابله با آسیب‌پذیری‌های این‌چنینی چند شرکت امنیتی ماژول‌های Metasploit خود را عرضه کرده‌اند، چرا که تنها با داشتن کلید نرم‌افزاری می‌توان به راحتی ماژول Metasploit را نوشت.»

به گفته بردزلی، شرکت Rapid7 درحال تهیه پایگاه داده‌ای از کلیدهای SSH آلوده است و انتظار می‌رود پروتکل‌های آلوده سیسکو نیز به زودی به این پایگاه داده اضافه شود.

مهاجمان از طریق این آسیب‌پذیری بدون آنکه شناسایی شوند به سیستم‌های هدف دسترسی پیدا می‌کنند. به گفته سیسکو، کشف حفره SSH کار ساده‌ای است، به‌خصوص اگر مهاجمان در شبکه هدف نیرویی داشته باشند که در کشف پروتکل‌ها به آنها کمک کند.

تیم مشاوره سیسکو می‌گوید: «سو استفاده از این حفره روی SMAv در تمام مواردی که این محصول نرم‌افزاری برای مدیریت برنامه‌های امنیت محتوی به‌کار گرفته می‌شود امکان‌پذیر است. دسترسی به پروتکل SSH روی SMAv به مهاجمان امکان می‌دهد انتقال داده‌ها به SMAv را رمزگشایی و کارکرد آن را تقلید کنند تا داده‌های دستکاری شده را به یک برنامه مدیریت محتوی ارسال با تنظیمات دلخواه کاربران ارسال کنند. مهاجمان همچنین می‌توانند از این آسیب‌پذیری روی لینک‌های ارتباطی با هر برنامه امنیت محتوایی که به‌وسیله SMAv مدیریت می‌شد به نفع خود استفاده کنند.»

به گفته سیسکو راهی برای جلوگیری از این آسیب‌پذیری وجود ندارد. با وجود این سیسکو وصله‌هایی را برای نسخه‌های نرم‌افزاری گوناگون آلوده به این حفره منتشر کرده است. این شرکت همچنین اعلام کرد که این آسیب‌پذیری هنگام انجام آزمون‌های امنیتی درون‌سازمانی شناسایی شده است. برنامه‌هایی که آسیب‌پذیری کلید پیش‌فرض SSH گریبانگیر آنها شده کارکردهای امنیتی گوناگونی از جمله امنیت محتوی، ایمیل و وب را ارائه می‌کنند.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.