کشف یک آسیب‌پذیری در Cisco Prime Infrastructure

یک آسیب‌پذیری که در آن، سرور وب HTTP برای Cisco Prime Infrastructure، دارای اجازه‌ی دسترسی بدون محدودیت به دایرکتوری می‌باشد، ممکن است به یک مهاجم Remote، بدون احراز هویت توانایی آپلود یک فایل دلخواه را بدهد. این فایل می‌تواند به مهاجم دسترسی سطح کاربر Prime، این توانایی را بدهد که دستورهایی را اجرا کنند. این کاربر دارای سطح دسترسی مدیریتی یا Root نیست.

این آسیب‌پذیری به علت تنظیمات نادرست دسترسی‌ها برای دایرکتوری‌های مهم سیستم، رخ می‌دهد. یک مهاجم با استفاده از TFTP می‌تواند فایلی مخربی که از طریق GUI رابط کاربردی وب به آن دسترسی داشت را آپلود نماید و از این آسیب‌پذیری سوءاستفاده کند. پس از Exploit نمودن، مهاجم می‌تواند بدون احراز هویت روی برنامه کاربردی هدف، دستوراتی را اجرا نماید.

سیسکو برای پاسخ به این آسیب‌پذیری، بروزرسانی‌هایی منتشر کرده و راهکارهایی برای رسیدگی به این آسیب‌پذیری را ارائه نموده است.

محصولات تحت تاثیر آسیب پذیری Cisco Prime

نسخه‌های 3.2 تا 3.4 از نرم‌افزار Cisco Prime پیش از اولین نسخه‌ی اصلاح شده، در صورت فعال بودن سرور TFTP که معمولا به طور پیش‌فرض فعال است، آسیب‌پذیر خواهند بود. مدیر می‌تواند با استفاده از رابط کاربری وب و رفتن به مسیر زیر، وضعیت TFTP را بررسی نماید:

 Administration > Settings > System Settings > Server > TFTP.

در Image متعلق به PI Federal Information Processing Standards یا به اختصار FIPS، به طور پیش‌فرض TFTP غیرفعال است.

تعیین نسخه‌ی نرم‌افزار PI

برای تعیین نسخه‌ی نرم‌افزاری که روی تجهیز اجرا می‌گردد، می‌توان از یکی از روش‌های زیر استفاده نمود. مدیر می‌تواند دستور «Show Version» را در کنسول CLI اجرا کند. خروجی زیر از یک برنامه کاربردی آسیب‌پذیر است که روی نسخه‌ی 3.2.0 نرم‌افزار PI اجرا می‌شد و نسخه‌ی PI Maintenance 3.2.2 بر روی آن نصب بود، گرفته شده است.

 piconsole# show version

Cisco Application Deployment Engine OS Release: 3.2

ADE-OS Build Version: 3.2.0.001

ADE-OS System Architecture: x86_64

Copyright (c) 2009-2016 by Cisco Systems, Inc.

All rights reserved.

Hostname: lmpy-spc-princess

Version information of installed applications

———————————————

Cisco Prime Infrastructure

********************************************************

Version : 3.2.0

Build : 3.2.0.0.132

Critical Fixes:

       PI 3.2.2 Maintenance Release ( 6.0.0 )

Device Support:

        Prime Infrastructure 3.2 Device Pack 11 ( 11.0 ) 

کاربر همچنین می‌تواند با ورود به رابط کاربری وب با استفاده از URL دسترسی http(s)://<system-ip>، بروزرسانی‌های نسخه‌ی PI و نسخه‌ی Maintenance را مشاهده نماید. نسخه‌ی نرم‌افزاری Cisco Prime روی صفحه‌ی خوش‌آمد‌گویی نمایش داده می‌شود و روی گزینه‌ی «View Installed Update» کلیک نماید تا یک پنجره‌ی Pop-Up با لیستی از نسخه‌ها و Patchهای PI Maintenance باز گردد. در زیر مثالی از متنی که در پنجره‌ی pop-up برای نسخه‌ی 3.2 نرم‌افزار PI نمایش داده می‌شود را می‌بینیم:

Cisco Prime Infrastructure

       Version 3.2

   View Installed Update

 پنجره‌ی pop-up لیستی از بروزرسانی‌های نسخه‌ی Maintenance را در قالب زیر نمایش می‌دهد:

Update Name

PI 3.2.2 Maintenance Release

 ادمین همچنین می‌تواند با ورود به رابط کاربری وب با استفاده از URL دسترسی http(s)://<system-ip> و رفتن به مسیر:   Gear > About Prime Infrastructure > View Installed Updates بروزرسانی‌های نسخه‌ی PI و نسخه‌ی Maintenance را مشاهده نماید. اطلاعات نسخه به شکل زیر نمایش داده می‌گردد:

Installed Updates

Critical Fixes

Update Name            Version

PI 3.2.2 Maintenance Rel…    6.0.0

Device Support

Update Name            

Prime Infrastructure 3.2

محصولاتِ بدون آسیب‌پذیریِ TFTP

تنها محصولاتی که در بخش «محصولات آسیب‌پذیر» فهرست شده‌اند تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند. سیسکو تایید کرده است که Cisco Evolved Programmable Network Manager یا به اختصار EPNM آسیب‌پذیر نیست.

راهکارها

مدیرآن شبکه می‌تواند با استفاده از رابط کاربری وب و رفتن به مسیر زیر، TFTP را برای Cisco PI غیرفعال کند:

Administration > Settings > System Settings > Server > TFTP

در این اپلیکیشن، TFTP جهت عملیات‌های داخلی مانند انتقال Image، پیکربندی و آرشیوها مورد استفاده قرار می‌گیرد. در عوض می‌توان برای این کارکردها از پروتکل ایمنی مانند Secure Copy Protocol یا به اختصار SCP یا SFTP استفاده نمود.

نرم‌افزار اصلاح شده

سیسکو بروزرسانی‌های نرم‌افزاری رایگانی را منتشر کرده است که جهت رفع آسیب‌پذیری که توصیف شد در فوق می‌باشد. مشتریان تنها می‌توانند نسخه‌های نرم‌افزاری و مجموعه ویژگی‌هایی که برایش License خریداری کرده‌اند را نصب کرده و برای آن‌ها انتظار پشتیبانی داشته باشند.

به علاوه، مشتریان تنها می‌توانند نرم‌افزاری را دانلود کنند که برایش License مورد تاییدی دارند که مستقیما از سیسکو و یا از طریق فروشنده یا شرکای مورد تایید سیسکو تهیه شده باشد. در اکثر مواقع، این موضوع، ارتقای Maintenance به نرم‌افزاری خواهد بود که پیش از این خریداری شده است. بروزرسانی‌های امنیتی رایگان حق License نرم‌افزاری جدید، مجموعه ویژگی‌های نرم‌افزاری اضافی و یا ارتقا‌های نسخه (Revision) اصلی را برای مشتریان فراهم نمی‌نماید.

زمانی که مشتریان قصد ارتقا را دارند، پیشنهاد می‌شود که مرتبا به مطالب مشاوره‌ای برای محصولات سیسکو مراجعه نمایند تا بتوانند مسیر و راهکار ارتقای کاملی را بیابند.در تمام موارد، مشتریان باید اطمینان حاصل کنند که دستگاه‌هایی که قرار است ارتقا داده شوند، حاوی حافظه‌ی کافی هستند و تایید کنند که پیکربندی‌های سخت‌افزاری و نرم‌افزاری کنونی به طور مناسب توسط نسخه‌های جدید پشتیبانی خواهند شد. اگر اطلاعات واضح نبود، به مشتریان توصیه می‌شود که با مرکز پشتیبانی فنی (TAC) سیسکو یا ارائه‌دهندگان پشتیبانی قراردادی خود، تماس حاصل کنند.

مشتریان بدون قراردادهای سرویس

مشتریانی که به طور مستقیم از سیسکو خرید میکنند، اما دارای قرارداد سرویس سیسکو نیستند و مشتریانی که از طریق Vendorهای Third-Party خرید می‌کنند اما نمی‌توانند نرم‌افزار اصلاح‌شده‌ای را از این طریق بدست بیاورند، باید با تماس با Cisco TAC (در آدرس زیر) فایل ارتقاهای خود را دریافت کنند.

https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

مشتریان باید شماره سریال محصول را در دسترس خود داشته باشند و آماده باشند که URL مربوط به این سند مشاوره‌ای را به عنوان مدرکی مبنی بر اینکه حق یک ارتقای رایگان را دارند، ارائه دهند.

نسخه‌های اصلاح شده

مشتریان باید طبق جدول زیر عملیات ارتقا را به یک نسخه‌ی مناسب انجام دهند:

* TFTP به طور پیش‌فرض در نسخه‌ی Cisco PI 3.2 FIPS غیرفعال است. همچنین می‌توان از راهکاری که در این سند مشاوره‌ای ارائه شده است، استفاده نمود.