نرمافزار Wireshark شناختهشدهترین تحلیلگر پروتکل شبکه، متن باز میباشد که برای تجزیه و تحلیل Packetهای شبکه و نمایش اطلاعات آنها با جزئیات بیشتر، مورد استفاده سازمانها و اشخاص قرار میگیرد. اخیرا Wireshark تعدادی Patch امنیتی برای سه آسیبپذیری مهم منتشر نموده است که این آسیبپذیریها به یک مهاجم Remote اجازه میدهد که با استفاده از این حفرههای امنیتی، کاربر را در وضعیت DoS قرار دهند.
سیسکو، (Proof-of-Concept (PoC مربوط به این آسیبپذیری را در دسترس عموم قرار داده است. چراکه شرکتها همواره باید از حداکثر حفاظت برای شبکههای سازمانی خود اطمینان حاصل نموده و بر روی آن تمرکز داشته باشند تا بتوانند با حملات DDoS مقابله کنند.
بررسی Patchهای امنیتی Wireshark
- Bluetooth ATT dissector – CVE-2018-16056
آسیبپذیری در بخش تجزیهگر Bluetooth Attribute Protocol (ATT) قرار دارد و مهاجم میتواند با چندین روش از جمله Inject نمودن یک Packet مخرب به شبکهای که قرار است توسط برنامهی کاربردی آسیبپذیر پردازش شود و یا متقاعد نمودن یک کاربر به بازکردن فایل Trace مربوط به یک Packet مخرب، این آسیبپذیری را Exploit نماید. بکاربردن این آسیبپذیری میتواند باعث اختلال در Bluetooth ATT و در پی آن وضعیت DoS ایجاد میگردد. این آسیبپذیری نسخههای 2.6.0 تا 2.6.2، 2.4.0 تا 2.4.8 و 2.2.0 تا 2.2.16 را تحت تأثیر قرار میدهد و در نسخههای 2.6.3، 2.4.9 و 2.2.17 برطرف شده است و این نسخهها از طریق وبسایت Wireshark قابل دانلود هستند.
- جزء تجزیهگر Radiotap – CVE-2018-16057
در این آسیبپذیری مهاجم میتواند با وارد نمودن یک Packet مخرب به شبکهای که قرار است توسط برنامهی کاربردی آسیبپذیر پردازش شود و یا متقاعد نمودن یک کاربر به بازکردن Trace File مربوط به Packet مخرب، این آسیبپذیری را Exploit نماید. وارد نمودن این آسیبپذیری میتواند جزء تجزیهگر Radiotap را دچار اختلال نموده و وضعیت DoS را ایجاد نماید. این آسیبپذیری درنسخههای 2.6.0 تا 2.6.2، 2.4.0 تا 2.4.8 و 2.2.0 تا 2.2.16 مشاهده شده و در نسخههای 2.6.3، 2.4.9 و 2.2.17 برطرف گردید.
- پروتکل انتقال توزیع صدا/تصویر – CVE-2018-16058
این آسیبپذیری مانند کد اصلی epan/dissectors/packet-btavdtp.c متعلق به آسیبپذیری نرم افزار، میتواند بهصورتی نادرست ساختار دادهها را مقداردهی اولیه نماید. مهاجم میتواند با وارد کردن یک Packet مخرب به شبکهای که قرار است توسط برنامهی کاربردیِ آسیبپذیر، پردازش شود و یا متقاعد نمودن یک کاربر به بازکردن فایل ردیابی مربوط به Packet مخرب، این آسیبپذیری را Exploit نماید.
Exploit نمودن این آسیبپذیری میتواند جزء تجزیهگر AVDTP را دچار اختلال کرده و وضعیت DoS ایجاد نماید. این آسیبپذیری نسخههای 2.6.0 تا 2.6.2، 2.4.0 تا 2.4.8 و 2.2.0 تا 2.2.16 را تحت تأثیر قرار میدهد و در نسخههای 2.6.3، 2.4.9 و 2.2.17 برطرف شده است.
Cisco توصیه میکند که مدیران شبکه هم از فایروال و هم از برنامههای کاربردی ضدویروس استفاده نمایند تا تأثیر تهدیدات را پایین آورده و از ACL مبتنی بر IP استفاده کنند تا فقط IPهای معتبر بتوانند به سیستم آسیبپذیر دسترسی پیدا نمایند.