اشتراک مقالات

بررسی آسیب‌پذیری سیسکو – Denial of Service در Dynamic Access Policies

130 مشاهده 0 14 آذر, 1402

آسیب پذیری سیسکو

آسیب‌پذیری سیسکو به نام Denial of Service در Dynamic Access Policies در نرم‌افزارهای Adaptive  Security Appliance و Firepower Threat Defense در سرویس سیسکو ایجاد شده است. در شبکه‌ها و سیستم‌های امنیتی، آسیب‌پذیری Denial of Service یا DoS به معنای جلوگیری از دسترسی به یک سرویس یا منابع سیستم است. این آسیب‌پذیری توسط حملاتی که هدف آن‌ها منابع سیستم می‌باشند، به وجود می‌آید.

لایسنس اسپلانک

در مورد Dynamic Access Policies یا DAPs نیز شرایط مشابهی صدق می‌کند. DAPs سیستم‌هایی هستند که در شبکه‌های تحت کنترل از سوی مدیران برای مدیریت و کنترل دسترسی افراد و دستگاه‌ها به منابع و سرویس‌های شبکه استفاده می‌شوند.

آسیب‌پذیری DoS در DAPs به معنای برخی ضعف‌های امنیتی است که می‌تواند منجر به از دست رفتن عملکرد صحیح DAPs شود. مهاجمان قادر خواهند بود محدودیت‌ها و قوانین دسترسی در DAPs را به نحوی تغییر دهند که سیستم‌های مورد حمله قادر به پاسخگویی به درخواست‌های درست نباشند. این مسئله می‌تواند منجر به قطعی یا کاهش قابل توجه عملکرد سرویس‌ها و منابع شبکه شود و کارکرد صحیح سیستم را تحت تأثیر قرار دهد.

مقابله با تهدیدات و تامین امنیت شبکه در کسب‌و‌کارهای کوچک با سیسکو

ویدیوهای بیشتر در مورد سیسکو

با توجه به شرایط، توصیه می‌شود تا برای مقابله با این آسیب‌پذیری مورد استفاده قرار گیرد:

1. بررسی و به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها به طور منظم انجام گردد تا از ضعف‌های امنیتی جدید در این پلتفرم‌ها جلوگیری شود

2. پیکربندی صحیح سیستم‌ها و دسترسی به DAPs با رعایت اصول امنیتی، از جمله اعتمادسازی منابع و تأیید هویت صحیح کاربران و دستگاه‌ها.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

3️ تنظیم درست سیاست‌های محافظتی به منظور تشخیص و جلوگیری از حملات DoS.

4 اعمال محدودیت‌های مناسب بر روی درخواست‌های ورودی به منظور کنترل ترافیک و حفاظت از منابع سیستم.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.

شرح و بررسی آسیب‌پذیری سیسکو

نوعی آسیب‌پذیری سیسکو در عملکرد Dynamic Access Policies یا DAP در نرم‌افزارهای Adaptive Security Appliance یا ASA و Firepower Threat Defense یا FTD سیسکو ممکن است به مهاجمی بدون مجوز و Remote امکان دهد که دستگاهی آسیب‌دیده را Reload کند و در نتیجه شرایط Denial of Service یا DoS ایجاد شود.

بیشتر بخوانید: بهترین راهکارهای امنیتی سیسکو در زمان دورکاری

این آسیب‌پذیری حاصل پردازش نادرست داده‌های HostScan دریافت شده از ماژول Posture (HostScan) خواهد بود. مهاجم می‌تواند با ارسال داده‌های دستکاری‌شده HostScan به دستگاه آسیب‌دیده این آسیب‌پذیری را Exploit کند. اگر Exploit موفقیت‌آمیز باشد ممکن است مهاجم بتواند دستگاه آسیب‌دیده را Reload کند و در نتیجه وضعیت DoS ایجاد شود. در به‌روزرسانی‌های نرم‌افزاری‌ای که سیسکو اخیراً عرضه کرده است، این آسیب‌پذیری برطرف شده است. هیچ راهکاری برای رفع این آسیب‌پذیری وجود ندارد.

محصولات آسیب‌پذیر سیسکو

این آسیب‌پذیری بر آن دسته از محصولات سیسکو تأثیر می‌گذارد که نسخه آسیب‌پذیری از نرم‌افزار Cisco ASA یا نرم‌افزار Cisco FTD را اجرا کنند و همه شرایط زیر را داشته باشند:

  • Remote Access SSL VPN فراهم باشد.
    • HostScan فعال باشد.
    • حداقل یک DAP سفارشی پیکربندی شده باشد.

تعیین Remote Access SSL VPN و HostScan Configuration

کاربران می‌توانند از دستور show running-config webvpn | include enable بر دستگاه CLI برای ارزیابی پیکربندی Remote Access SSL VPN و HostScan استفاده کنند. اگر در خروجی این دستور حداقل یک لاین با enable شروع شود، نشانه این است که Remote Access SSL VPN فعال شده است. اگر در لاینی از خروجی این دستور عبارت hostscan enable، دیده شود، به این معناست که HostScan پیکربندی شده است. نمونه زیر خروجی دستور show running-config webvpn بر دستگاهی را نشان می‌دهد که هم Remote Access SSL VPN بر رابط outside آن و هم HostScan در آن  فعال شده‌اند.

asa# show running-config webvpn | include enable

webvpn

 enable outside

 hostscan enable

اگر خروجی این دستور خالی باشد، نشانه این است که نه Remote Access SSL VPN پیکربندی شده است و نه HostScan. اگر در خروجی این دستور هریک از لاین‌های مذکور وجود نداشته باشد، یعنی قابلیت مرتبط با آن پیکربندی نشده است.

بیشتر بخوانید: لایسنس محصولات سیسکو

تعیین پیکربندی DAP

کاربران می‌توانند از دستور show running-config dynamic-access-policy-record بر دستگاه CLI به‌منظور ارزیابی پیکربندی DAP استفاده کنند. اگر در خروجی این دستور علاوه بر رکورد  DfltAccessPolicy حداقل یک رکورد دیگر هم باشد، یعنی DAP پیکربندی شده است. نمونه زیر خروجی دستور show running-config dynamic-access-policy-record را بر دستگاهی نشان می‌دهد که DAP سفارشی آن با عنوان DAP_TEST_POLICY پیکربندی شده است:

asa# show running-config dynamic-access-policy-record

dynamic-access-policy-record DfltAccessPolicy

dynamic-access-policy-record DAP_TEST_POLICY

user-message "NO WAY IN!"

 action terminate

محصولاتی که در فهرست آسیب‌پذیرها قرار نمی‌گیرند

سیسکو تأیید کرده است که این آسیب‌پذیری بر نرم‌افزار Firepower Management یا FMC سیسکو تأثیری نمی‌گذارد.

راهکارها

  • هیچ راهکاری برای رفع این آسیب‌پذیری وجود ندارد. با این حال، این امکان وجود دارد که HostScan را با صدور دستور no hostscan enable در حالت پیکربندی دستگاه غیرفعال کنند.

هرچند که این اقدام تعدیل‌کننده در محیطی آزمایشی انجام شده و موفقیت‌آمیز بوده است، کاربران باید کاربرد و اثربخشی را در محیط خود و تحت شرایط استفاده خود تعیین کنند. کاربران باید بدانند که هرگونه راهکار یا اقدام تعدیل‌کننده‌ای که اجرا می شود ممکن است بنابر بر سناریوها و محدودیت‌های پیاده‌سازی آن‌ها بر عملکرد شبکه‌شان تأثیر منفی بگذارد. کاربران ابتدا باید کارکرد راهکار یا اقدام تعدیل‌کننده موردنظر برای محیط و نیز اثرات آن بر محیط را بررسی کنند و سپس درخصوص پیاده‌سازی آن تصمیم بگیرند.

نرم‌افزار اصلاح‌شده در جهت رفع بررسی آسیب‌پذیری سیسکو

  • سیسکو به‌روزرسانی‌های نرم‌افزاری رایگانی منتشر کرده است که این نوع آسیب‌پذیری را که در این راهنما شرح داده شد برطرف می‌کند.

شاید کاربران نسخه‌هایی از نرم‌افزار را نصب کنند و انتظار داشته باشند برای این نسخه‌ها و مجموعه قابلیت‌های مرتبطی که لایسنس آن را خریداری کرده‌اند، پشتیبانی دریافت کنند. آن‌ها با نصب، دانلود و دسترسی به این گونه ارتقاهای نرم‌افزاری یا استفاده از آن، موافقت می‌کنند که از شرایط لایسنس نرم‌افزار سیسکو پیروی کنند:
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

علاوه بر این، کاربران صرفاً می‌توانند نرم‌افزارهایی را دانلود کنند که لایسنس معتبری برای آن دارند که مستقیماً از سیسکو یا از طریق فروشنده یا یکی از شرکای دارای مجوز سیسکو تهیه شده است. در بیشتر موارد ارتقا مرتبط با حفظ نرم‌افزاری است که قبلاً خریداری شده است. به‌روزرسانی‌های امنیتی رایگان برای نرم‌افزار، به کاربران حق دریافت لایسنس نرم‌افزار جدید، مجموعه‌ قابلیت‌های اضافه نرم‌افزار یا ارتقاهای Revision اساسی را نمی‌دهد.

به کاربران توصیه می‌شود در زمان تصمیم برای ارتقای نرم‌افزار مرتباً از راهنماهای مربوط به محصولات دردسترس سیسکو استفاده کنند تا درخصوص ارائه و راهکار کاملی برای ارتقا تصمیم‌گیری کنند.

در همه موارد، کاربران باید اطمینان حاصل کنند که دستگاه‌هایی که قرار است ارتقا داده شوند دارای حافظه کافی باشند و تأیید کنند که نسخه جدید از پیکربندی‌های سخت‌افزاری و نرم‌افزاری فعلی به‌درستی پشتیبانی می‌کند.  

کاربران بدون قرارداد خدمات

کاربرانی که مستقیماً از سیسکو خرید می‌کنند اما قرارداد خدمات سیسکو ندارند و کاربرانی که از طریق Vendorهای Third-party خرید می‌کنند اما در دریافت نرم‌افزار ثابت از طریق محل فروش خود ناموفق هستند، باید با برقراری تماس با Cisco TAC به‌روزرسانی‌ها را دریافت کنند، کاربران باید شماره سریال محصول را در دسترس داشته باشند و همچنین آماده باشند که URL این راهنما را به‌عنوان مدرکی دال بر حق ارتقای رایگان ارائه دهند.

نرم افزارهای ASA ،FMC و FTD سیسکو

سیسکو برای آن که به کاربران کمک کند مشخص کنند نرم‌افزارهای ASA ،FMC و FTDشان در معرض چه آسیب‌پذیری‌هایی است، Cisco Software Checker را فراهم کرده است. این ابزار هرگونه راهنمای امنیتی سیسکو را که بر یک نسخه نرم‌افزاری خاص تأثیر می‌گذارد مشخص و همچنین اولین نسخه‌ای را که آسیب‌پذیری‌های مشروح در هر راهنما را رفع می‌کند، تعیین می‌نماید.

برچسب ها : امنیت، امنیت محصولات سیسکو، امنیت ClouD، امنیت شبکه،امنیت سیسکوکاربردهای سرویس امنیتی سیسکوامنیت محصولات سیسکوآموزش تنظیم روتر سیسکوبروزرسانی سیسکوراهکار سیسکوDNA سیسکوبروزرسانی جدید سیسکوآسیب پذیری سوئیچ سیسکوآسیب‌پذیری سیسکومفهوم سرویس بهینه‌سازی امنیت سیسکوامنیت در سیسکومعماری شبکه دیجیتال سیسکوAuthentication در سیسکو

مطلب مفید بود؟

 
بیشتر بخوانید