اگر از محصولات سیسکو در شبکهتان استفاده میکنید باید بدانید این غول فناوری به تازگی آسیبپذیری مهمی را در محصولاتش برطرف کرده است. درجه اهمیت این ضعف امنیتی بالاست و به شما توصیه میکنیم هر چه سریعتر به روزرسانیها را نصب کنید. حالا بیایید تا کمی این باگ امنیتی را بررسی کنیم و سپس در خصوص راهکارهای برطرف کردنشان صحبت کنیم. اولین سوال این است که این آسیبپذیری در کدام محصولات سیسکو وجود دارد؟
این ضعف امنیتی مربوط به پیکربندی کانتینرهای نرم افزار Cisco SD-WAN vManage میباشد. در نتیجه محصولات سیسکو که مجهز به نسخه آسیبپذیر نرم افزار Cisco SD-WAN vManage هستند در معرض خطر قرار دارند. حالا ببینیم کدام نسخهها آسیبپذیر هستند.
توجه داشته باشید نسخههای آسیبپذیر عبارتند از:
همچنین سیسکو اعلام کرده است محصولات زیر آسیبپذیر نیستند. پس اگر از محصولات زیر استفاده میکنید لازم نیست نگران باشید.
در بخش بعدی به سراغ بررسی فنی این آسیبپذیری میرویم و برایتان توضیح میدیم چرا این باگ به وجود آمده است.
دلیل اصلی ایجاد این باگ امنیتی وجود ضعف در سیستم محافظتی است. سیستمی که باید بر روی پورت کانتینر سرور ارسال پیام (messaging server container) وجود داشته باشد. در نتیجه مهاجم باوجود این نقص میتواند به پورت سرور messaging وصل شود. در نظر داشته باشید مهاجم باید بتواند به اینترفیسها از طریق VPN0 logical network ترافیک بفرستد. ممکن است ساختار شبکه به گونهای پیکربندی شده باشد که شبکههای فیزیکی و یا منطقی مجاور نتوانند به آن نفوذ کنند و به اصطلاح محافظت شده باشد.
ممکن است این سوال در ذهنتان به وجود آمده باشد که مهاجم در صورت نفوذ چه کارهایی میتواند انجام دهد؟
خب باید به شما بگوییم این موضوع کاملا به پیکربندی دستگاه مربوط است. نتیجه اکسپلویت موفق این آسیبپذیری چه خواهد بود؟ یک اکسپلویت موفق از این آسیبپذیری خطرناک به مهاجم اجازه مشاهده و ارسال پیام در سرویس messaging را میدهد. همین موضوع به فرد نفوذ کننده اجازه میدهد تا بتواند پیکربندی را تغییر دهد و یا باعث بارگذاری مجدد دستگاه شود.
شرکت سیسکو علاوه بر ارائه به روزرسانی نرم افزاری، Workaround نیز ارائه کرده است. در بخش بعدی توضیحات بیشتری به شما در این خصوص خواهیم داد.
سیسکو به مدیران شبکه توصیه کرده تا از فهرست کنترل دسترسی ACLs برای مسدود کردن پورتهای ۴۲۲۲، ۶۲۲۲ و ۸۲۲۲ استفاده کنند. اینها پورتهایی هستند که نرم افزار Cisco SD-WAN vManage برای سرویس messeging استفاده میکند. این کار را بسته به پیکربندی انجام شده به یکی از روشهای زیر میتوانید در شبکهتان انجام دهید.
فهرست کنترل دسترسی ACL را بر روی تجهیزات Cisco IOS تعریف کنید. برای اطلاعات بیشتر به این پیوند مراجعه کنید.
روش بعدی پیکربندی ACL بر روی فایروالی است که از نرم افزار Cisco SD-WAN vManage Software محافظت میکند. برای اطلاعات بیشتر به این پیوند مراجعه کنید.
فهرست کنترل دسترسی Cisco Cloud Controllers ACLs نیز از طریق پرتال Self-Service مدیریت میشود. شما میتوانید پیکربندی ACL را روی پرتال Self-Service پیکربندی کنید. همچنین از طریق همین پرتال میتوانید کار خود را بررسی کرده و از درستی آن مطمئن شوید. برای اطلاعات بیشتر به این پیوند سر بزنید.
توجه داشته باشید سیسکو این Workaroundها را در محیط آزمایشگاهی بررسی کرده و درستی آنها را اثبات کرده است. اما شما باید در شبکهتان ابتدا آنها را تست کنید و سپس پیاده سازی کنید. در خصوص به روزرسانی نرم افزاری نیز در بخش بعدی توضیح خواهیم داد.
مطابق جدول زیر باید نسخههای آسیب پذیر را به نسخههای ارائه شده ارتقا دهید. شما میتوانید برای دریافت آخرین اخبار آسیبپذیری محصولات سیسکو به وب سایت آرمان داده پویان مراجعه کنید.
| Cisco SD-WAN vManage Software Release | First Fixed Release |
|---|---|
| Earlier than 20.3 | Migrate to a fixed release |
| ۲۰٫۳ | Migrate to a fixed release |
| ۲۰٫۶ | ۲۰٫۶٫۴ |
| ۲۰٫۷ | Migrate to a fixed release |
| ۲۰٫۸ | Migrate to a fixed release |
| ۲۰٫۹ | ۲۰٫۹٫۱ |
با راهکار GFI LanGuard طیف وسیعی از توانمندیها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیبپذیر شبکه، مدیریت وصلههای امنیتی، پویش درگاههای شبکه و ارزیابی آسیبپذیریهای پایگاه داده را به سازمان خود بیاورید.