به گزارش روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ در بسیاری از برنامههای امنیتی سیسکو پروتکل امنیتی SSH بهطور پیشفرض گنجانده شده؛ کلیدی که مهاجمان بهعنوان یک آسیبپذیری از از آن استفاده میکنند تا بهسادگی به برنامهها نفوذ و دستورات دلخواه خود را اعمال کنند. سیسکو اعلام کرد سه برنامه Web Security Virtual Appliances، Email Security Virtual Appliances و Control Security Management Virtual Appliances بهوسیله این آسیبپذیری آلوده است.
اما این حفره از آن جهت اهمیت دارد که ممکن است عملیات سازمانها و کسب و کارها را مختل کند. هکرهایی که پروتکل پیشفرض SSH را کشف و به آن دسترسی پیدا کنند در عمل میتوانند تمام دادههای ترافیکی را رمزگشایی کنند. این درحالیست سهم بالای محصولات سیسکو در بازارهای جهانی امنیت دامنه وسیعی از سازمانها را بهخطر میاندازد. از قرار معلوم این کلید پیشفرض برای پشتیبانی نرمافزاری در دل محصولات سیسکو گنجانده شده بود.
تیم مشاوره سیسکو در بیانیهای اعلام کرد: «وجود یک آسیبپذیری در قابلیت پشتیبانی راه دور سه محصول نرمافزاری Cisco WSAv، Cisco ESAv و Cisco SMAv به مهاجمان امکان میدهد از راه دور به سیستمهای آلوده با سطح دسترسی کاربران root نفوذ کنند.»
در قسمت دیگری از این بیانیه آمده است: «این آسیبپذیری ناشی از کلید پیشفرض و معتبر SSH میشود که در سه برنامه WSAv، ESAv و SMAv مشترک است. مهاجمان میتوانند از طریق این آسیبپذیری به کلید محرمانه SSH دسترسی پیدا کرده و از آن برای اتصال به WSAv، ESAv یا SMAv استفاده کنند. این حفره دسترسی به سیستمها را با سطح دسترسی کاربر root ممکن میسازد.»
به گفته محققان، حفره امنیتی سیسکو آسیبپذیری منحصر به فردی نیست و وجود حفرههای مشابه در برنامههای دیگر از ضعف بزرگی در صنعت امنیت نرمافزاری حکایت میکند.
تاد بردزلی، مدیر مهندسی امنیت شرک Rapid7 میگوید: «اغلب ناشران میانافزار بهخوبی آگاهند که سیستم مدیریت راه دور برپایه پروتکل Telnet امنیت چندانی ندارد و به همین دلیل استفاده از کنسولهای مدیریتی مبتنی بر پروتکل SSH رو به افزایش است. متاسفانه گهگاه دیده شده که ناشران میانافزار بهطور اشتباهی یک کلید پیشفرض SSH را در تمام محصولات خود بهکار میبرند. SSH بیتردید بهتر از Telnet است، اما مهاجمان کافیست تنها به یکی از سیستمهای که SSH روی آن نصب شده نفوذ کنند تا به تمام سیستمهای مشابه نیز دسترسی پیدا کنند.
«در برخورد با سیستمهای آسیبپذیری که پروتکل SSH روی آنها راهاندازی شده به ناشران میانافزارها توصیه میکنیم از طریق عملیات First Boot کلید SSH منحصر به فردی را برای هر دستگاه الکترونیکی تعریف کنند. به این ترتیب پروتکل هر کاربر منحصر به همان کاربر خواهد بود. توجه داشته باشید پورت ورود به اینترنت روی سیستمهای دارای پروتکل SSH اغلب بسته است، بنابراین مهاجمان میبایست به شبکه محلی دسترسی داشته باشند (خواه شبکه فیزیکی یا VPN که دسترسی به محصولات سیسکو را امکانپذیر میکند).
«برای مقابله با آسیبپذیریهای اینچنینی چند شرکت امنیتی ماژولهای Metasploit خود را عرضه کردهاند، چرا که تنها با داشتن کلید نرمافزاری میتوان به راحتی ماژول Metasploit را نوشت.»
به گفته بردزلی، شرکت Rapid7 درحال تهیه پایگاه دادهای از کلیدهای SSH آلوده است و انتظار میرود پروتکلهای آلوده سیسکو نیز به زودی به این پایگاه داده اضافه شود.
مهاجمان از طریق این آسیبپذیری بدون آنکه شناسایی شوند به سیستمهای هدف دسترسی پیدا میکنند. به گفته سیسکو، کشف حفره SSH کار سادهای است، بهخصوص اگر مهاجمان در شبکه هدف نیرویی داشته باشند که در کشف پروتکلها به آنها کمک کند.
تیم مشاوره سیسکو میگوید: «سو استفاده از این حفره روی SMAv در تمام مواردی که این محصول نرمافزاری برای مدیریت برنامههای امنیت محتوی بهکار گرفته میشود امکانپذیر است. دسترسی به پروتکل SSH روی SMAv به مهاجمان امکان میدهد انتقال دادهها به SMAv را رمزگشایی و کارکرد آن را تقلید کنند تا دادههای دستکاری شده را به یک برنامه مدیریت محتوی ارسال با تنظیمات دلخواه کاربران ارسال کنند. مهاجمان همچنین میتوانند از این آسیبپذیری روی لینکهای ارتباطی با هر برنامه امنیت محتوایی که بهوسیله SMAv مدیریت میشد به نفع خود استفاده کنند.»
به گفته سیسکو راهی برای جلوگیری از این آسیبپذیری وجود ندارد. با وجود این سیسکو وصلههایی را برای نسخههای نرمافزاری گوناگون آلوده به این حفره منتشر کرده است. این شرکت همچنین اعلام کرد که این آسیبپذیری هنگام انجام آزمونهای امنیتی درونسازمانی شناسایی شده است. برنامههایی که آسیبپذیری کلید پیشفرض SSH گریبانگیر آنها شده کارکردهای امنیتی گوناگونی از جمله امنیت محتوی، ایمیل و وب را ارائه میکنند.
منبع: کسپرسکی آنلاین
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
