نسخههایی از PIX و ASA متعلق به شرکت سیسکو و Firmware مختص به Fortinet Fortigate در معرض آسیب قرار دارند. کاربران برخی از تجهیزات امنیتی سیسکو و Fortinet باید جهت جلوگیری از هک شدن، Patchهای جدید را دریافت نموده و نصب نمایند.
هر دو شرکت مذکور در صدد رفع نقص و ارائه موارد اصلاحی برآمدند تا توضیحاتی را در مورد Exploitهایی ارائه نمایند که به صورت آنلاین ارسال شده و پس از شناسایی، برای برخی محصولات آنها از جمله فایروالهای پرطرفدار سیسکو همچون PIX و ASA و نسخههایی از فایروال Fortigate شرکت Fortinet، به یک تهدید جدی تبدیل میشوند.
در برخی خبرها نیز آمده است که سایر نقصها نیز ممکن است محصولات WatchGuard و TOPSEC را تحت تاثیر قرار دهند اما این شرکتها پاسخ سریعی نسبت به این مساله نداشته و هنوز Update جدیدی ارائه ندادهاند.
این Exploitها توسط گروهی موسوم به Shadow Brokers منتشر یافته است که قبلا ادعا کرده بودند که NSA (آژانس امنیت ملی آمریکا) را نیز هک کرده اند.
با اینکه زمان بروز این Exploitها دست کم به سال 2013 برمیگردد اما شرکت سیسکو عنوان مینماید که در هنگام عمومیسازی این موارد توسط Shadow Brokers، فقط در مورد یکی از آنها اطلاعاتی را در اختیار داشته و در حال حاضر نیز اطلاعاتی را در مورد یک Exploit دیگر کسب کرده است و برای رفع آن Patch جدیدی را ارائه می نماید. علاوه بر آن شرکت Fortinet نیز مشاور امنیتی جدیدی در اختیار گرفته است، تا این موارد را برطرف سازد.
معرفی برخی تجهیزات آسیبپذیر سیسکو
برآورد سیسکو از میزان تهدید حاصل از آسیبپذیریهایی که به تازگی کشف شدند که با نام آسیبپذیری Cisco Adaptive Security Appliance SNMP Remote Code Execution شناخته میشود، در سطح بالایی میباشد. زیرا میتواند زمینه را برای اجرای کد Remote بر روی تجهیزات آسیب دیده و دستیابی به کنترل کامل را مهیا سازد. گروه مشاوره امنیتی این شرکت اظهار دارد که این آسیبپذیری به علت سرریز بافر (Buffer Overflow) در محدودهی کدهای آسیبدیده ایجاد میشود. Exploitشدن این آسیب میتواند از طریق ارسال Packetهای SNMPطراحی شده به سیستمهای آسیبدیده توسط Attackerها میسر گردد.
فهرستی از تجهیزات آسیبدیدهی سیسکو عبارتند از:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- (Cisco Adaptive Security Virtual Appliance (ASAv
- Cisco Firepower 9300 ASA Security Module
- Cisco PIX Firewalls
- (Cisco Firewall Services Module (FWSM
یکی از آسیبهای دیگر تحت عنوان، Cisco ASA CLI Remote Code Execution Vulnerability از سال 2011 توسط سیسکو شناسایی شده بود و از همان زمان اقداماتی در زمینه رفع نقص و ارائه اصلاحات صورت گرفت. این شرکت یک راهکار امنیتی جدید را با هدف آگاهسازی در این رابطه عرضه نمود تا کاربران شرکت از این مطلب اطمینان یابند که مشکل موجود در نسخههای نرمافزاری آنها برطرف شده است.
این آسیبپذیری در رده متوسط قرار دارد و در صورت Exploit شدن، به Attacker هایی که به صورت Local احراز هویت شده اند، اجازه میدهد تا حملات (Denial of Service (DoS را ایجاد نموده یا به صورت بالقوه کد دلخواه خود را اجرا نمایند. بر اساس نظرات گروه مشاوره امنیتی شرکت، Attacker میتواند با فراخواندن دستورات خاص و نامعتبر در یک دستگاه آسیبدیده این آسیبپذیری را به سیستم وارد نماید.
معرفی برخی تجهیزات آسیبپذیر Fortinet
شرکت Fortinet به ارائه یک مشاوره امنیتی برای مواردی میپردازد که Cookie Parser (آسیبپذیری سرریز بافر) یا Cookie Parser Buffer Overflow Vulnerability نامیده میشود و به دلیل ایجاد دسترسی Administrative به صورت Remote در سطح بالایی از اهمیت قرار دارد.
این آسیبپذیری برخی از Firmwareهای Fortigateهای خاص تحت عنوان FOS را که از آگوست 2012 عرضه شدهاند، تحت تاثیر قرار میدهد. نسخههای آسیبدیده عبارتند از:
- FOS 4.3.8 and below
- FOS 4.2.12 and below
- FOS 4.1.10 and below
این شرکت در بیانیهای اعلام نمود که کاربرانِ نسخههای Fortigate Firmware 5.0 و بالاتر، عرضه شده در آگوست 2012، در معرض آسیب قرار نمیگیرند. وی در ادامه افزود: همچنان به دنبال بررسی بیشتر این موضوع و اجرای یک بازنگری دیگر بر روی تمامی محصولات Fortinet بوده و در صورت دستیابی به اطلاعات جدید و مفید در این زمینه، در راستای سیاست مسئولیت شفافسازی شرکت، آن را با مشتریان به اشتراک خواهیم گذاشت.
