سیسکو بهروزرسانیهای امنیتی را برای رفع آسیبپذیریها در چندین محصول منتشر کرده است. برخی از این آسیب پذیری ها می توانند به مهاجم از راه دور اجازه دهند تا کنترل سیستم آسیب دیده را در دست بگیرد. برای بهروزرسانی هایی که آسیب پذیری های با شدت کمتر را برطرف می کنند، به صفحه توصیه های امنیتی Cisco مراجعه کنید. در این مقاله جدیدترین وصله های امنیتی سیسکو را با استناد به صفحه رسمی سیسکو گردآوری نموده ایم.
جدیدترین آسیب پذیری ها و وصله های امنیتی سیسکو
آسیبپذیری های متعدد در رابط کاربری وب و CLI Cisco Email Security Appliance (ESA) و Cisco Secure Email و Web Manager میتواند به مهاجم تأیید شده اجازه دهد تا حملات تزریقی انجام دهد یا امتیازات دسترسی را افزایش دهد. سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری ها را برطرف می کند. تاکنون هیچ راه حلی برای رفع این آسیب پذیری ها وجود ندارد.
جزییات جدیدترین آسیب پذیری های شناسایی شده
CVE-2023-20009: آسیب پذیری افزایش امتیاز ESA سیسکو و Cisco Secure Email و Web Manager
یک آسیبپذیری در رابط کاربری وب و CLI سیسکو ESA و ایمیل امن سیسکو و مدیر وب میتواند به مهاجم احراز هویت شده از راه دور (وب UI) یا مهاجم محلی تأیید شده (CLI) اجازه دهد تا امتیازات را به روت افزایش دهد. مهاجم باید دارای اعتبار کاربری معتبر با امتیازات سطح اپراتور یا بالاتر باشد. این آسیبپذیری به دلیل اعتبارسنجی نادرست فایل پیکربندی پروتکل مدیریت شبکه ساده (SNMP) آپلود شده است. یک مهاجم میتواند با احراز هویت در دستگاه آسیبدیده و آپلود یک فایل پیکربندی SNMP ساخته شده خاص، از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا دستورات را به صورت روت اجرا کند. سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری را برطرف می کند.
شناسه های باگ: CSCwd29901، CSCwd29905
شناسه CVE: CVE-2023-20009
رتبه تاثیر امنیتی (SIR): بالا
امتیاز پایه CVSS: 6.5
وکتور CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
CVE-2023-20075: آسیب پذیری Cisco ESA Command Injection
یک آسیبپذیری در CLI سیسکو ESA میتواند به یک مهاجم محلی تأیید شده اجازه دهد تا دستورات دلخواه را روی دستگاه آسیبدیده اجرا کند. این آسیبپذیری به دلیل اعتبارسنجی نامناسب ورودی در CLI است. یک مهاجم می تواند با تزریق دستورات سیستم عامل به یک فرمان قانونی از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا از خط فرمان محدود شده فرار کند و دستورات دلخواه را در سیستم عامل زیربنایی به عنوان کاربر فرآیند CLI اجرا کند. برای بهرهبرداری موفقیتآمیز از این آسیبپذیری، مهاجم باید دارای اعتبار کاربری معتبر با امتیازات سطح اپراتور یا بالاتر باشد. سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری را برطرف می کند.
شناسه های باگ CSCwd50043
شناسه CVE: CVE-2023-20075
رتبه تاثیر امنیتی (SIR): بالا
امتیاز پایه CVSS: 6.0
وکتور CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
CVE-2023-20032: سرریز بافر اسکن پارتیشن ClamAV HFS+در 15 فوریه 2023 در کتابخانه اسکن ClamAV فاش شد
یک آسیبپذیری در تجزیهکننده فایل پارتیشن HFS+ نسخههای ClamAV 1.0.0 و پیشتر، 0.105.1 و پیشتر، و 0.103.7 و نسخههای قبلیتر، میتواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد تا کد دلخواه را اجرا کند. این آسیبپذیری به دلیل عدم بررسی اندازه بافر است که ممکن است منجر به نوشتن سرریز بافر پشتهای شود. یک مهاجم میتواند با ارسال یک فایل پارتیشن HFS+ ساخته شده برای اسکن شدن توسط ClamAV در دستگاه آسیبدیده از این آسیبپذیری سوء استفاده کند. یک اکسپلویت موفق میتواند به مهاجم اجازه دهد تا کد دلخواه را با امتیازات فرآیند اسکن ClamAV اجرا کند، یا در غیر این صورت فرآیند را از کار بیندازد و منجر به شرایط انکار سرویس (DoS) شود.
رتبهبندی تأثیر امنیتی (SIR) برای این آسیبپذیری فقط برای پلتفرمهای مبتنی بر ویندوز حیاتی است زیرا این پلتفرمها فرآیند اسکن ClamAV را در یک زمینه امنیتی ممتاز اجرا میکنند. پلتفرم هایی که به شدت تحت تاثیر قرار گرفته اند عبارتند از Cisco Secure Endpoint Connector برای ویندوز.
SIR برای این آسیبپذیری در سایر پلتفرمها، از جمله پلتفرمهای لینوکس و مک، متوسط است، زیرا این پلتفرمها فرآیند اسکن ClamAV را در یک زمینه امنیتی با امتیاز کمتر اجرا میکنند. پلتفرم های آسیب دیده شامل Cisco Secure Web Appliance و Secure Endpoint Connector برای لینوکس و مک هستند. Cisco Secure Endpoint Private Cloud خود تحت تأثیر این آسیب پذیری قرار نمی گیرد. با این حال، نرم افزار Secure Endpoint Connector که از دستگاه توزیع می شود، تحت تأثیر قرار می گیرد.
شناسههای باگ:
CSCwd74132
CSCwd74133
CSCwd74134
امتیاز پایه 9.8 CVSS:
وکتور CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
CVE-2023-20014: آسیب پذیری انکار سرویس داشبورد Cisco Nexus
یک آسیبپذیری در عملکرد DNS نرمافزار داشبورد Nexus Cisco میتواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد تا شرایط انکار سرویس (DoS) را ایجاد کند. این آسیب پذیری به دلیل پردازش نادرست درخواست های DNS است. یک مهاجم میتواند با ارسال یک جریان مداوم از درخواستهای DNS به دستگاه آسیبدیده از این آسیبپذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم این امکان را بدهد که سرویس coredns را از کار بیاندازد یا باعث شود دستگاه بارگذاری مجدد شود و در نتیجه وضعیت DoS ایجاد شود.
CVE-2023-20011:آسیبپذیری در رابط مدیریت مبتنی بر وب سیسکو Application Policy Infrastructure Controller (APIC) و Cisco Cloud Network Controller
یک آسیبپذیری در رابط مدیریت مبتنی بر وب سیسکو Application Policy Infrastructure Controller (APIC) و Cisco Cloud Network Controller، که قبلاً Cisco Cloud APIC بود، میتواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا یک حمله جعل درخواست بینسایتی (CSRF) را بر روی یک سایت انجام دهد. سیستم تحت تأثیر این آسیبپذیری به دلیل محافظت ناکافی CSRF برای رابط مدیریت مبتنی بر وب در یک سیستم آسیبدیده است. یک مهاجم میتواند با متقاعد کردن کاربر رابط به کلیک کردن روی یک پیوند مخرب از این آسیبپذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا اقدامات دلخواه را با سطح امتیاز کاربر آسیب دیده انجام دهد. اگر کاربر آسیبدیده دارای امتیازات مدیریتی باشد، این اقدامات میتواند شامل اصلاح پیکربندی سیستم و ایجاد حسابهای ممتاز جدید باشد.
شناسههای باگ:
CSCwb74816
امتیاز پایه 7.5 CVSS:
وکتور CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X
CVE-2023-20089: آسیب پذیری Cisco Nexus 9000 Series Fabric Switches in ACI Mode Link Layer Discovery Protocol Memory Leak Denial of Service Vulnerability
یک آسیبپذیری در ویژگی پروتکل کشف لایه پیوند (LLDP) برای سوئیچهای فابریک سری Nexus 9000 Cisco در حالت Application Centric Infrastructure (ACI) میتواند به مهاجم مجاور احراز هویت نشده اجازه دهد که نشت حافظه ایجاد کند که میتواند منجر به بارگیری مجدد غیرمنتظره دستگاه شود.
این آسیبپذیری به دلیل بررسی اشتباه اشتباه هنگام تجزیه بستههای ورودی LLDP است. یک مهاجم می تواند با ارسال یک جریان ثابت از بسته های LLDP ساخته شده به دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق میتواند به مهاجم اجازه دهد که نشت حافظه ایجاد کند، که میتواند منجر به وضعیت انکار سرویس (DoS) در هنگام بارگیری مجدد غیرمنتظره دستگاه شود.
توجه: این آسیب پذیری نمی تواند توسط ترافیک حمل و نقل از طریق دستگاه مورد سوء استفاده قرار گیرد. بسته LLDP ساخته شده باید به یک رابط متصل مستقیماً هدف قرار گیرد و مهاجم باید در همان حوزه پخش دستگاه آسیبدیده باشد (لایه 2 مجاور). علاوه بر این، سطح حمله برای این آسیبپذیری را میتوان با غیرفعال کردن LLDP در رابطهایی که نیازی به آن نیست، کاهش داد.
شناسههای باگ:
CSCwc23246
امتیاز پایه 7.4 CVSS:
وکتور CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/E:X/RL:X/RC:X
محصولات تحت تاثیر این آسیب پذیری
- سیسکو تایید کرده است که این آسیب پذیری محصولات سیسکو زیر را تحت تاثیر قرار نمی دهد:
- Firepower سری 1000
- Firepower سری 2100
- Firepower سری 4100
- لوازم امنیتی Firepower 9300
- سوئیچ های چند لایه سری MDS 9000
- Nexus 1000 Virtual Edge برای VMware vSphere
- سوئیچ Nexus 1000V برای Microsoft Hyper-V
- سوئیچ Nexus 1000V برای VMware vSphere
- سوئیچهای سری Nexus 3000
- سوئیچهای پلتفرم Nexus 5500
- سوئیچهای پلتفرم Nexus 5600
- سوئیچهای سری Nexus 6000
- سوئیچهای سری Nexus 7000
- Nexus 9000 Series در حالت مستقل NX-OS سوئیچ میکند
- فایروال امن سری 3100
- اتصالات فابریک سری UCS 6200
- اتصالات فابریک سری UCS 6300
- اتصالات فابریک سری UCS 6400
- اتصالات فابریک سری UCS 6500
شاخص های سازش
سوء استفاده از این آسیبپذیری میتواند منجر به نشت حافظه در فرآیند LLDP شود، که میتواند باعث از کار افتادن دستگاه در صورت عدم وجود حافظه کافی سیستم شود. برای نظارت بر استفاده از حافظه در فرآیند LLDP، از دستور ps aux –sort -rss CLI یا ps aux –sort -rss | دستور grep lldp CLI. در خروجی، ستون VSZ مقدار کل حافظه مورد استفاده توسط فرآیند LLDP را نشان می دهد. اگر این عدد به آرامی در طول زمان افزایش یابد و هرگز کاهش نیابد، این می تواند نشانه ای از سوء استفاده از این آسیب پذیری باشد. برای بازیابی حافظه به راه اندازی مجدد دستگاه نیاز است.
leaf# ps aux –sort -rss
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 24764 2.1 3.3 2454992 544656 ? Ssl Jan29 3772:19 /isan/bin/coop
root 24769 0.8 2.8 2150308 458840 ? Ssl Jan29 1497:31 /isan/bin/routing-sw/isis -t isis_infra
root 22160 0.0 2.8 1966352 454464 ? Ssl Jan29 71:52 /isan/bin/nfm
root 56391 0.0 2.7 1963948 451276 ? Ss Jan29 5:49 /isan/bin/cts -t
root 24763 0.0 2.4 1918348 394152 ? Ssl Jan29 6:27 /isan/bin/dhcp_snoop
root 22222 0.0 2.3 1111704 379436 ? Ssl Jan29 67:56 /isan/bin/acllog
root 24754 0.0 2.3 1895068 378796 ? Ss Jan29 52:41 /isan/bin/oam
root 24757 0.0 2.3 4190440 376808 ? Ss Jan29 134:20 /isan/bin/lldp
leaf#ps aux –sort -rss | grep lldp
root 24757 0.0 2.3 4190440 376808 ? Ss Jan29 134:20 /isan/bin/lldp
آخرین وصله های امنیتی سیسکو با درجه حیانی
جدیدترین آسیب پذیری کشف شده در روترهای سیسکو مربوط به آسیب پذیری های روترهای سری RV کسب و کار کوچک سیسکو است که با امتیاز حیاتی (بحرانی) درجه بندی شده است. تاریخ اولین انتشار آن در 3 آگوست 2022 بوده است. شناسه های این باگ سیسکو عبارتند از: CSCwb58268، CSCwb58273 و CSCwb98961.
آسیب پذیری های متعدد در روترهای سری RV160، RV260، RV340 و RV345 Cisco Small Business می تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا کد دلخواه را اجرا کند یا شرایط انکار سرویس (DoS) را در دستگاه آسیب دیده ایجاد کند.
از اینرو سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری ها را برطرف می کند. اما اگر دستگاهی تحت این آسیب پذیری قرار گیرد، هنوز هیچ راه حلی برای رفع آن اعلام نشده است.
محصولات آسیب پذیر
CVE-2022-20827 و CVE-2022-20841 محصولات سیسکو زیر را تحت تأثیر قرار می دهند:
- RV160 VPN Routers
- RV160W Wireless-AC VPN Routers
- RV260 VPN Routers
- RV260P VPN Routers with PoE
- RV260W Wireless-AC VPN Routers
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
CVE-2022-20842 محصولات سیسکو زیر را تحت تأثیر قرار می دهد:
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
محصولات تایید شده آسیب پذیر نیستند. تنها محصولاتی که در بخش محصولات آسیب پذیر این توصیه نامه فهرست شدهاند، تحت تأثیر این آسیب پذیریها قرار دارند.
جزییات آسیب پذیری ها
آسیب پذیری ها به یکدیگر وابسته هستند. ممکن است برای بهره برداری از آسیب پذیری دیگر، بهره برداری از یکی از آسیب پذیری ها مورد نیاز باشد. علاوه بر این، نسخه نرم افزاری که تحت تأثیر یکی از آسیب پذیری ها قرار می گیرد، ممکن است تحت تأثیر سایر آسیب پذیری ها قرار نگیرد.
جزئیات مربوط به آسیب پذیری ها به شرح زیر است. همچنین وصله های امنیتی سیسکو برای جلوگیری از وجود این آسیب پذیری در جداول انتهای مقاله آورده شده است.
CVE-2022-20842: روترهای سری RV کسب و کار کوچک سیسکو اجرای کد از راه دور و آسیب پذیری انکار سرویس
یک آسیبپذیری در رابط مدیریت مبتنی بر وب Cisco RV340، RV340W، RV345، و RV345P Dual WAN Gigabit VPN Router میتواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد تا کد دلخواه را اجرا کند یا باعث شود دستگاه آسیبدیده بهطور غیرمنتظره ریستارت شود، و منجر به انکار سرویس شود. وضعیت (DoS).
این آسیب پذیری به دلیل اعتبار سنجی ناکافی ورودی های ارائه شده توسط کاربر به رابط مدیریت مبتنی بر وب است. یک مهاجم می تواند با ارسال ورودی HTTP دستکاری شده به دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را به عنوان کاربر ریشه در سیستم عامل زیربنایی اجرا کند یا باعث شود دستگاه ریستارت شود و در نتیجه شرایط DoS ایجاد شود.
- شناسه (های) باگ: CSCwc00210
- شناسه CVE: CVE-2022-20842
- رتبه بندی تاثیر امنیتی (SIR): بحرانی
- امتیاز پایه CVSS: 9.8
- وکتور CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2022-20827: آسیب پذیری تزریق فرمان به روز رسانی پایگاه داده فیلتر وب روترهای سری RV Cisco Small Business
یک آسیبپذیری در ویژگی (Feature) به روزرسانی پایگاه داده فیلتر وب روترهای سری RV160، RV260، RV340 و RV345 Cisco Small Business میتواند به مهاجم غیرقابل احراز هویت و از راه دور اجازه دهد تا یک فرمان تزریق کرده و دستورات را بر روی سیستمعامل زیربنایی با امتیازات ریشه اجرا کند.
این آسیب پذیری به دلیل اعتبار سنجی ورودی ناکافی رخ می دهد. یک مهاجم می تواند با ارسال ورودی دستکاری شده به فیچر (قابلیت) به روز رسانی پایگاه داده فیلتر وب، از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا دستورات را بر روی سیستم عامل اصلی با امتیازات ریشه اجرا کند.
- شناسه (های) باگ: CSCwb58268، CSCwb58273
- شناسه CVE: CVE-2022-20827
- رتبه بندی تاثیر امنیتی (SIR): بحرانی
- امتیاز پایه CVSS: 9.0
- وکتور CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2022-20841: روترهای سری RV کسب و کار کوچک Cisco، دستور تزریق را با Plug and Play اجرا می کنند.
یک آسیبپذیری در ماژول Open Plug and Play (PnP) روترهای سری RV160، RV260، RV340 و RV345 Cisco Small Business میتواند به مهاجم احراز هویت نشده و از راه دور اجازه دهد تا دستورات دلخواه را بر روی سیستم عامل زیربنایی تزریق و اجرا کند.
این آسیب پذیری به دلیل اعتبار سنجی ناکافی ورودی های ارائه شده توسط کاربر است. یک مهاجم می تواند با ارسال ورودی مخرب به دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا دستورات دلخواه را در سیستم عامل لینوکس زیربنایی اجرا کند. برای سوء استفاده از این آسیبپذیری، مهاجم باید از موقعیت MIM (حمله مرد میانی) استفاده کند یا روی یک دستگاه شبکه خاص که به روتر آسیبدیده متصل است، جایگاه ثابتی داشته باشد.
- شناسه (های) باگ: CSCwb98961، CSCwb98964
- شناسه CVE: CVE-2022-20841
- رتبه تاثیر امنیتی (SIR): بالا
- امتیاز پایه CVSS: 8.3
- وکتور CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
راه حل ها
سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری را برطرف می کند. اما در صورت بروز آلودگی هیچ راه حلی برای رفع این آسیب پذیری وجود ندارد.
نسخه های ایمن
جدیدترین وصله های امنیتی سیسکو برای این آسیب پذیری ها در جدول زیر آورده شده است. به کاربران توصیه می شود نرم افزار خود را به نسخه نرم افزار مناسب ارتقاء دهند:
CVE-2022-20827 و CVE-2022-20841
Cisco Product |
Affected Releases |
First Fixed Release |
RV160 and RV260 Series Routers |
Earlier than 1.0.01.05 |
Not vulnerable |
RV160 and RV260 Series Routers |
1.0.01.05 |
1.0.01.09 |
RV340 and RV345 Series Routers |
Earlier than 1.0.03.26 |
Not vulnerable |
RV340 and RV345 Series Routers |
1.0.03.26 |
1.0.03.28 |
CVE-2022-20842
Cisco Product |
Affected Releases |
First Fixed Release |
RV340 and RV345 Series Routers |
1.0.03.26 and earlier |
1.0.03.28 |
صفحه پشتیبانی و دانلودهای Cisco در Cisco.com اطلاعاتی در مورد مجوزها و دانلودها ارائه می دهد. سیسکو بهروزرسانی های نرم افزار رایگانی را منتشر کرده است که آسیب پذیری های شرح داده شده در این مقاله را برطرف میکند. مشتریان دارای قراردادهای پشتیبانی که به آنها حق دریافت بهروزرسانی نرمافزار معمولی را می دهد، باید از طریق کانال های بهروزرسانی معمول خود، وصله های امنیتی را دریافت کنند.
مشتریانی که مستقیماً از سیسکو خرید می کنند اما قرارداد خدمات پشتیبانی سیسکو ندارند و مشتریانی که از طریق فروشندگان شخص ثالث خرید میکنند، اما در دریافت نرمافزار و وصله ها امنیتی از طریق محل فروش خود ناموفق هستند، باید با تماس با سیسکو ، بهروزرسانی ها را دریافت کنند.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
دیدگاه یک پست