سیسکو باگ‌های امنیتی خطرناکی را در نرم افزار ASA برطرف کرد.

سیسکو در روز چهارشنبه با انتشار وصله های امنیتی چندین آسیب پذیری در نرم افزار Cisco ASA را برطرف کرد. یکی از آن‌ها که منجر به افشای اطلاعات حساس کاربران می‌شود با شماره مرجع CVE-2022-20866 مشخص شده و امتیاز CVSS 7.4 را به خود اختصاص داده است. این نقص به عنوان خطای منطقی توصیف می‌شود و زمانی به وجود می‌آید که تجهیزات  Cisco Adaptive Security Appliance از کلیدهای RSA استفاده می‌کنند.

نرم افزار Cisco ASA یک سیستم عامل اصلی برای خانواده Cisco ASA محسوب می‌شود. نرم افزار Cisco ASA به صورت گسترده‌ای در  فایروال‌هایی مورد استفاده قرار گرفته است که در سطح enterprise فعالیت می‌کنند و همچنین از VPN، IPS و بسیاری از ویژگی‌های دیگر پشتیبانی می‌کنند.

Cisco ASDM نیز یک رابط کاربری گرافیکی برای مدیریت از راه دور لوازم خانگی با استفاده از نرم افزار Cisco ASA می‌باشد. نرم افزار FirePOWER Services هم مجموعه‌ای از نرم افزارهاست که از نصب ماژول FirePOWER بر روی Cisco ASA 5500-X با FirePOWER Services پشتیبانی می‌کند.

بهره برداری موفقیت آمیز از این نقص می تواند به مهاجم اجازه دهد تا کلید خصوصی RSA را با استفاده از یک حمله کانال جانبی (Side-Channel Attack) علیه دستگاه مورد نظر به دست آورد. سیسکو در توصیه‌ای که در ۱۰ آگوست صادر کرد، هشدار داد: “اگر مهاجم کلید خصوصی RSA را به دست آورد، می تواند از این کلید برای جعل هویت دستگاهی که نرم افزار Cisco ASA یا نرم افزار Cisco FTD را اجرا می کند یا رمزگشایی ترافیک دستگاه استفاده کند.”

سیسکو خاطرنشان کرد که این نقص فقط بر نسخه‌های ۹٫۱۶٫۱ و نسخه‌های جدیدتر نرم افزار Cisco ASA و نرم‌افزار Cisco FTD نسخه‌های ۷٫۰٫۰ و بالاتر تأثیر می‌گذارد. لیست محصولات آسیب پذیر به شرح زیر است:

ASA ۵۵۰۶-X with FirePOWER Services
ASA ۵۵۰۶H-X with FirePOWER Services
ASA ۵۵۰۶W-X with FirePOWER Services
ASA ۵۵۰۸-X with FirePOWER Services
ASA ۵۵۱۶-X with FirePOWER Services
Firepower ۱۰۰۰ Series Next-Generation Firewall
Firepower ۲۱۰۰ Series Security Appliances
Firepower ۴۱۰۰ Series Security Appliances
Firepower ۹۳۰۰ Series Security Appliances, and
Secure Firewall ۳۱۰۰

بسیسکو از Nadia Heninger و George Sulivan از دانشگاه کالیفرنیا سن دیگو و Jackson Sippe و Eric Wustrow از دانشگاه Colorado Boulder برای گزارش این باگ تقدیر کرده است. علاوه بر این، سیسکو یک نقص فنی سمت کاربر که از نوع request smuggling هست را در Clientless SSL به تازگی برطرف کرده است. این باگ که در قسمت VPN (WebVPN) نرم افزار Cisco Adaptive Security Appliance (ASA) وجود دارد به مهاجم اجازه کارهای مخربی را می‌دهد. یک مهاجم بدون نیاز به احراز هویت و از راه دور می‌تواند حملات مرورگر-محوری مانند Cross Site Scripting را بر علیه قربانی انجام دهد. شرکت سیسکو این آسیب پذیری را با شماره مرجع CVE-2022-20713 و امتیاز CVSS 4.3 اعلام کرده است. این شرکت می‌گوید این باگ در نسخه‌های قبل از ۹٫۱۷(۱) نرم افزار ASA وجود دارد که که در آن‌ها ویژگی Clientless SSL VPN فعال است. هنوز Work aroundای برای این نقص وجود ندارد. اما برخی از کاربران در این شرایط ترجیح داده‌اند ویژگی Clientless SSL VPN را غیرفعال کنند. البته سیسکو می‌گوید اینکار بر روی بازدهی شبکه تاثیر منفی خواهد گذاشت.

همچنین شرکت امنیتی Rapid7 نیز چندی پیش خبر از کشف ۱۰ باگ در نرم افزار Cisco ASA و FirePOWER Services Software داد. سیسکو در پی این جریان اقدام به برطرف کردن این آسیب‌پذیری‌ها کرده است. این شرکت تا به حال توانسته هفت آسیب‌پذیری گزارش شده را در محصولاتش برطرف کند. این هفت آسیب پذیری به شرح زیر هستند:

CVE-2022-20829 (CVSS score: ۹٫۱)

CVE-2022-20651 (CVSS score: ۵٫۵)

CVE-2021-1585 (CVSS score: ۷٫۵)

CVE-2022-20828 (CVSS score: ۶٫۵)

به سه آسیب‌پذیری دیگر هنوز شماره مرجع اختصاص داده نشده است.
شما می‌توانید از طریق بخش آگاهی رسانی امنیتی وب سایت آرمان داده پویان اخبار آسیب پذیری را دنبال کنید.

• تاریخ: آگوست ۲۰۲۲
• شماره‌(ها)ی مرجع: CVE-2022-20866 ،  CVE-2022-20713
• اثرات: افشای اطلاعات، اجرای حملات Cross Site Scripting
• راهکار: نصب اصلاحیه‌های امنیتی منتشر شده توسط سیسکو
• برای کسب اطلاعات بیشتر به پیوند زیر مراجعه کنید:
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-webvpn-LOeKsNmO

با راهکار GFI LanGuard طیف وسیعی از توانمندی‌ها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیب‌پذیر شبکه، مدیریت وصله‌های امنیتی، پویش درگاه‌های شبکه و ارزیابی آسیب‌پذیری‌های پایگاه داده را به سازمان خود بیاورید.