آپدیت‌های آسیب‌پذیر در نرم‌افزار سازمانی Cisco

18 مهر 1401 آپدیت‌های آسیب‌پذیر در نرم‌افزار سازمانی Cisco

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از میان سخنرانی‌های بسیار در کنفرانس بلک‌هت آگست 2022، برخی برای مدیران امنیتی و ادمین‌های سیستم کاربرد اجرایی داشتند. یکی از سخنرانی‌های جذاب مربوط می‌شد به محققی به نام جیکوب بینز که به تفصیل توضیح داد چطور نرم‌افزار سازمانی سیسکو را تحلیل کرده و در آن چندین آسیب‌پذیری کشف کرده است. در ادامه قرار است به یافته‌های جیکوب بپردازیم. با ما همراه شوید.

یافته‌های جیکوب در قالب گزارشی مبسوط به صورت اسلاید و در گیت‌هاب به صورت مجموعه‌ای از ابزارها وجود دارد. او در واقع 10 باگ پیدا کرد که  Cisco Adaptive Security Software، Adaptive Security Device Manager و Firepower Services Software for ASA را آلوده کرده بودند. این راهکارهای نرم‌افزاری انواعی از سیستم‌های سیسکو را برای کاربران سازمانی کنترل می‌کنند؛ از جمله فایروال‌های سخت‌افزاری، راهکارهای امنیتیِ سازمانیِ انتها به انتها[1]. هفت باگ از میان باگ‌های کشف‌شده در سیسکو آسیب‌پذیری خوانده می‌شوند و این درحالیست که سه تای دیگر لایه امنیتی را خدشه دار نمی‌کنند. زمان افشا، دو آسیب‌پذیری از بین آن هفت آسیب‌پذیری بسته نشده بودند؛ هرچند  Rapid7 این مسئله را فوریه/مارس 2022 به سیسکو گوشزد کرده بود (آسیب‌پذیری دیگر به نظر بعدها بسته شد).

و آسیب‌پذیری‌ها...

بگذارید به دو مورد که ارزش بررسی دارند بپردازیم. آسیب‌پذیری  CVE-2022-20829 مربوط به متود تحویل آپدیت که نرم‌افزار  Cisco ASA به کار می‌برد. این باگ نسبتاً جزئی است: پکیج‌های باینری آپدیت در طول نصب اعتبار ندارند؛ هیچ تأییدیه‌ی امضای دیجیتال یا چیزی شبیه به این وجود ندارد. Rapid7 نشان داد چطور می‌شود پکیج‌های Cisco ASDM را برای اجرای کد دلخواه (موقع پردازش) دستکاری کرد. آسیب‌پذیری دوم که مهم است با اسم CVE-2021-1585 شناخته شده و اواخر 2020 توسط محققی به نام مالکولم لشلی کشف شد. او متوجه شده بود که وقتی آپدیت‌ها ارسال می‌شوند، گواهی نیاز داشت از طریق دست‌دهیِ TLS (پروتکلی برای ایجاد ارتباط امن در شبکه اینترنت) به کانکشن امنی برسد اما پردازش اشتباه انجام می‌شد. این در عوض به مهاجم اجازه می‌داد تا حمله مرد میانی را روی کلاینت‌های سیسکو پیدا کند؛ بدان‌معنا که منبع خود را به جای منبع آپدیت قانونی بگذارد. این ارسال و اجرای مد مخرب را به جای پچ ممکن می‌ساخت . چنین آسیب‌پذیری تاریخچه جذابی دارد: مالکوم لشلی آن را دسامبر 2020 به سیسکو گزارش کرده بود.

این شرکت جولای 2021 جزئیات آسیب‌پذیری را بدون هیچ پچی منتشر نمود. این آسیب‌پذیری جولای 2022 در پرتال داخلی کلاینت‌های سیسکو «بسته» نشانه‌گذاری شد. اما Rapid7 اذعان داشت این آسیب‌پذیری هنوز باز است: اگر هم پچی برایش منتشر شده افاقه نکرده. نمی‌توان سایر آسیب‌پذیری‌ها را جزئی قلمداد کرد. برای مثال CVE-2022-20828 را می‌شود برای حمله به ادمین سیستم (از طریق دسترسی ریموت) استفاده کرد. این دمو نمونه‌ایست از اینکه چطور مهاجم احتمالی می‌تواند با وارد کردن یک فرمان کنترل کل سیستم را در دست گیرد. افزون بر این، Rapid7 پی برد ماژول‌های بوت  FirePOWER به هیچ وجه اسکن نشده‌اند. این یعنی اگر هر آسیب‌پذیری در نرم‌افزار بسته شده بوده همیشه این امکان هست که باز راهش به تصویر بوت باز شود (منظورمان همان نسخه پچ‌نشده است). با وجود پتانسیل استفاده از چنین آسیب‌پذیری‌ای برای اجرای حملات واقعی، سیسکو هنوز اینها را مسئله امنیتی جدی نمی‌داند!

دشواری‌های تحویل آپدیت

این آسیب‌پذیری‌ها نشان می‌دهند حتی در نرم‌افزار سازمانی که از راهکارهای سازمانی رده بالایی برخوردار است هم سیستم تحویل آپدیت می‌تواند به مشکل بربخورد. همین چند وقت پیش بود که در مورد مشکلی در نرم‌افزار کلاینت وبیِ زوم برای دستگاه‌های اپل نوشتیم (این دو خبر به لحاظ مفهومی با هم مشابه هستند). پروسه‌ی چک آپدیت به نظر امن می‌آمد: دسترسی به سرور از طریق کانکشن امن انجام و فایل آپدیت هم دیجیتالی امضا شده بود. اما رویه‌ی تأیید امضا اجازه می‌داد هر چیزی به جای فایل قابل‌اجرای قانونی اجرا شود (و بالاترین مزایا را از آن خود کند).

همچنین نمونه‌ای وجود دارد از آپدیت‌های مخرب که در حملات واقعی دارند استفاده می‌شوند. سال 2018 محققین کسپرسکی این متود را در کمپین Slingshot APT شناسایی کردند که سعی داشتند روترهای Mikrotik را دستکاری کنند. در مورد پرونده سیسکو، تأیید امضای دیجیتال آپدیت‌های پکیج باینری ASDM نیازی به دور زدن نداشت: اصلاً وجود نداشت (مکانیزمی که آگست 2022 سر و کله‌اش پیدا شد اما قابلیت اطمینانش هنوز اثبات نشده). با این همه اگر بخواهیم راستش را بگوییم، همه حملاتی که محققین در بلک‌کت ارائه دادند اجرایی شدنشان سخت است. اما از آنجایی که سیسکو شرکت بزرگی است و اگر یک درصد حملات اجرایی شوند خسارات زیادی بابت رمزگذاری فایل یا سرقت اسرار تجاری متحمل می‌شود، باید این ریسک را جدی گرفت.

باید چه کار کرد؟

با توجه به جزئیات این آسیب‌پذیری‌ها، توصیه اصلی محققین Rapid7 این است که تا حد امکان حوزه اعمال ادمین را محدود کنید. و این فقط به داشتن مزایای بالا مانند کانکت شدن به زیرساخت از راه دور اشاره نمی‌کند. نمونه‌های زیادی وجود دارد که نشان می‌دهد ایزوله‌سازی آفلاین هم باز نمی‌تواند تماماً جلوی یک هک را بگیرد-برای مثال آپدیت‌های مخرب یا یک اسکریپت ساده که آسیب‌پذیری نرم‌افزاری را اکسپلویت کند کار را خراب می‌کند. نظارت دقیق افرادی که دسترسی کامل به زیرساخت دارند و نیز محدود کردن اقدامات ادمین می‌تواند ریسک حمله موفق را پایین بیاورد. اما این ریسک تماماً از بین نمی‌رود و داستان امنیتی همچنان ادامه دارد...

 

[1] END TO END

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد