یک آسیب پذیری در رابطCisco Adaptive Security Appliance یا ASA و نرمافزار دفاع در برابر تهدید Cisco Firepower میتواند به یک مهاجم غیرمجاز، از راه دور اجازه انجام حملات نفوذی دایرکتوری و دسترسی به فایل های حساس بر روی سیستم هدف را بدهد. این آسیبپذیری Read-Only Path Traversal است.
وقوع آسیبپذیری Read-Only Path Traversal به دلیل فقدان اعتبار مناسب ورودی URLها در درخواست های HTTP توسط یک دستگاه آلوده میباشد. یک مهاجم میتواند با فرستادن یک درخواست HTTP دستکاری شده که حاوی توالی کاراکترهای Traversal به یک دستگاه است، از این آسیبپذیری سوءاستفاده و بهرهبرداری کند. یک نفوذ موفق این امکان را به مهاجم میدهد تا به صورت تصادفی فایلهای موجود در فایل نرمافزارهای سیستمی روی سیستم هدف را مشاهده کند.
سیستم فایل در وبسرویس، زمانی فعال میشود که یا با خصوصیات WebVPN یاAnyConnect پیکربندی شده باشد. از این آسیبپذیری نمیتوان به منظور دسترسی به فایلهای سیستمی FTD یا ASA و یا فایلهای اساسی سیستم عامل استفاده نمود.
سیسکو آپدیتهای جدید نرمافزاری برای رفع آسیبپذیری Read-Only Path Traversal ارائه کرده است. هیچ راهکار دیگری برای رفع این آسیبپذیری وجود ندارد.
چه محصولاتی در خطر هستند
این نوع آسیبپذیری، محصولاتی از Cisco را تحت تاثیر قرار میدهد که نسخهای آسیبپذیر از نرمافزارCisco ASA یا نرمافزار Cisco FTD با پیکربندی آسیبپذیر AnyConnect یا WebVPN را اجرا میکنند.
نرمافزار ASA
درجدول زیر، ستون سمت چپ، ویژگیهای آسیبپذیری Cisco ASA را فهرست کردهاست. ستون سمت راست، پیکربندی پایه هر ویژگی از دستور Show Running-config CLI را نشان میدهد. اگر سیستم شما براساس هریک از این ویژگیها پیکربندی شده باشد، آسیبپذیر است.
ویژگی Cisco ASA |
پیکربندی آسیبپذیر |
|
AnyConnect IKEv2 Remote Access (with client services) |
crypto ikev2 enable <interface_name> client-services port <port #> |
|
AnyConnect SSL VPN |
webvpn |
|
Clientless SSL VPN |
webvpn |
نرمافزار FTD
درجدول زیر، ستون سمت چپ، ویژگی های آسیبپذیری Cisco FTD لیست شده است. ستون سمت راست، پیکربندی پایه هر ویژگی از دستور Show Running-config CLI را نشان میدهد. اگر سیستم شما براساس هریک از این ویژگیها پیکربندی شده باشد، آسیبپذیر است.
روی دستگاههایی که در آن نرمافزار Cisco FTD اجرا شده، دستور Show Running-Config تنها در Diagnostic CLI mode در دسترس است. از دستور system support diagnostic-cli در نسخه عادی Firepower Threat Defense برای ورود به Diagnostic CLI Mode استفاده کنید.
ویژگی Cisco FTD |
پیکربندی آسیبپذیر |
|
AnyConnect IKEv2 Remote Access (with client services)1,2 |
crypto ikev2 enable <interface_name> client-services port <port #> |
|
AnyConnect SSL VPN1,2 |
webvpn |
1-ویژگی های Remote Access VPN از طریق Devices>VPN>Remote Access در Cisco Firepower Management Center (FMC) یا از طریق Devices>Remote Access>VPN در Cisco Firepower Device Management (FDM) فعال میشود.
2- ویژگیهای Remote Access VPN در ابتدا به عنوان نسخه ارائه شده 6.22 Cisco FTD پشتیبانی میشدند.
چه محصولاتی آسیبپذیر نیستند
تنها محصولات نام برد هشده در بخش” چه محصولاتی در خطر هستند” این مطلب، به عنوان محصولات تاثیرپذیر از آسیبپذیری Read-Only Path Traversal شناخته شدهاند. Cisco تایید کردهاست که این آسیبپذیری اثری بر نرمافزارCisco Firepower Management Center ندارد.
جزئیات موارد آسیبپذیر
مهاجم فقط در فایلسیستمِ وب سرویس ها میتواند فایلها را مشاهده کند. فایلسیستمِ وبسرویس برای ویژگیهای WebVPN و AnyConnect در قسمت محصولات گفته شده در این مطلب که بهصورت کلی آمده ، فعال است. بنابراین این آسیبپذیری شامل فایلهای سیستمی ASA و FTD و یا فایلهای سیستم عامل پایه نمیشود. فایلهای وب سرویسی که مهاجم میتواند مشاهده کند، ممکن است حاوی اطلاعاتی نظیر پیکربندی WebVPN، Bookmarkها، Cookieهای وب، محتوای جزئی وب و HTTP URLها باشد.
راهکارهای رفع آسیبپذیری Read-Only Path Traversal
هیچ راهکاری برای برطرف کردن این آسیبپذیری وجود ندارد.
برای کمک به تشخیص و یا جلوگیری از تلاش برای سوءاستفاده از این آسیبپذیری که در این مطلب شرح داده شد، مشتریانی که از ویژگی رمزگشایی SSL برای ترافیک تحت تاثیرقرارگرفته روی سنسورهای Cisco Firepower استفاده میکنند، میتوانند Snort Rules 54598 را از طریق 54601 در SRU number 2020-07-22-001 با استفاده از Cisco Firepower Management Center فعال کنند.
نسخه اصلاح شده نرمافزار
Cisco نسخه های آپدیت شدهی نرمافزار را که آسیبپذیری ذکرشده در این مطلب را برطرف میکنند، منتشرکرده است. مشتریان تنها برای نسخههای نرمافزار و مجموعه ویژگیهایی که لایسنس خریداری کردهاند، خدمات نصب و پشتیبانی نصب، دانلود، دسترسی یا استفاده از نسخه های بروزرسانی شده نرمافزارهای خدمات پشتیبانی دریات میکنند. علاوه برآن، مشتریان تنها زمانی میتوانند نرمافزار را دانلود کنند که دارای لایسنس معتبر خریداری شده بهطورمستقیم از Cisco یا از شریک یا نمایندگی معتبر Cisco باشند. دربسیاری از موارد این نسخه، یک نسخه اصلاحشده نرمافزاری خواهد بود که قبلا خریداری شده است. آپدیت رایگان جدید نرمافزار امنیتی، به معنی حق برخورداری مشتریان از مجوز جدیدی از نرمافزار، مجموعه ویژگیهای جدید نرمافزاری اضافه یا نسخه های ارتقاءیافتهی اصلاح شده نرمافزاری اصلی نیست.
در تمامی موارد، بهتر است مشتریان از وجود حافظه کافی در دستگاههای در آستانه آپگرید اطمینان حاصلکرده و پشتیبانی مناسب سختافزار و نرمافزار کنونی را در ادامه توسط نسخه جدید تایید کنند. درصورت مبهم بودن اطلاعات به مشتریان پیشنهاد میشود تا با Cisco Technical Assistance Center (TAC) یا با شرکتهای ارائه دهنده خدمات طرف قراردادشان تماس برقرارکنند.
مشتریانی که قرارداد دریافت خدمات ندارند
مشتریانی که به صورت مستقیم ازCisco خرید میکنند، اما قرداد دریافت خدمات Cisco ندارند، و مشتریانی که خرید خود را از فروشندگان شخص ثالث انجام داده و موفق به کسب نسخه اصلاحشده نرمافزار از نقطه خرید خود نشده اند باید با برقراری تماس با Cisco TAC از طریق این لینک نسخه ارتقاءیافته را دریافت نمایند. مشتریان ملزم به داشتن شماره سریال محصول و همچنین آمادگی برای ارائه URL این مقاله مشاورهای به عنوان مدرک، به منظور اثبات استحقاق برای دریافت نسخه آپگرید شده، میباشند.
نسخههای نرمافزاری اصلاحشده
درجداول زیر، در ستون سمت چپ نسخههای ارائهشده نرمافزار Cisco فهرست شده است. ستون سمت راست نشان میدهد که آیا نسخه ارائهشده تحتتاثیر آسیبپذیری گفته شده در این مطلب هست یا خیر. همچنین اولین نسخه ارائهشده که شامل اصلاحات انجامشده برای این آسیبپذیری است را نشان میدهد.
|
Cisco ASA Software Release |
اولین نسخه اصلاح شده برای این آسیبپذیری |
|
قدیمیتر از نسخه 9.61 |
Migrate به نسخه اصلاح شده |
|
9.6 |
9.6.4.42 |
|
9.71 |
Migrate به نسخه اصلاح شده |
|
9.8 |
9.8.4.20 |
|
9.9 |
9.9.2.74 |
|
9.10 |
9.10.1.42 |
|
9.12 |
9.12.3.12 |
|
9.13 |
9.13.1.10 |
|
9.14 |
9.14.1.10 |
1– اعتبار ارائه خدمات نسخه های 9.5 و قبل تر از آن و همچنین نسخه 9.7 نرمافزار Cisco ASA به پایان رسیده است. بهتر است مشتریان از یک نسخه پشتیبانی دیگر که شامل اصلاحات برای آسیبپذیری Read-Only Path Traversal است، استفاده کنند.
|
Cisco FTD Software Release |
اولین نسخه اصلاح شده برای این آسیبپذیری |
|
قدیمی تر از 6.2.2 |
آسیبپذیر نیست |
|
6.2.2 |
Migrate به نسخه اصلاح شده |
|
6.2.3 |
6.2.3.16 |
|
6.3.0 |
Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1 |
|
6.4.0 |
6.4.0.9 + Hot Fix1 |
|
6.5.0 |
Migrate به نسخه 6.6.0.1 |
|
6.6.0 |
6.6.0.1 |
2- برای مشاهده جزئیات Hot Fix ، به جدول زیر مراجعه کنید.
|
Cisco FTD Software Release |
Hot Fix File Names |
|
6.3.0.5 |
(آگوست 2020) |
|
6.4.0.9 |
Cisco_FTD_Hotfix_BM-6.4.0.10-2.sh.REL.tar |
|
6.5.0.4 |
(آگوست 2020)) |
به منظور ارتقاء نرمافزار به یک نسخه اصلاحشده از نرمافزار Cisco FTD، میتوان یکی از راهکارهای زیر را به کار گرفت.
- برای دستگاههایی که توسط Cisco Firepower Management center (FMC) اداره میشوند، از رابط FMC برای نصب نسخه ارتقاءیافته استفاده کنید. پس از تکمیل فرآیند نصب، پالیسیهای Access Control را مجددا اعمال کنید.
- برای دستگاههایی که توسط Cisco Firepower Device Manager مدیریت میشوند، از رابط FDM برای نصب نسخه ارتقاءیافته استفاده کنید. پس از تکمیل فرآیند نصب، پالیسیهای Access Control را مجددا اعمال کنید.
