اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری Read-Only Path Traversal در برخی محصولات سیسکو و چگونگی رفع آن

آسیب‌پذیری Read-Only Path Traversal

یک آسیب پذیری در رابطCisco Adaptive Security Appliance  یا ASA و نرم‌افزار دفاع در برابر تهدید Cisco Firepower می‌تواند به یک مهاجم غیرمجاز، از راه دور اجازه انجام حملات نفوذی دایرکتوری و دسترسی به فایل های حساس بر روی سیستم هدف را بدهد. این آسیب‌پذیری Read-Only Path Traversal است.

وقوع آسیب‌پذیری Read-Only Path Traversal به دلیل فقدان اعتبار مناسب ورودی URLها در درخواست های HTTP توسط یک دستگاه آلوده می‌باشد. یک مهاجم میتواند با فرستادن یک درخواست HTTP دستکاری شده که حاوی توالی کاراکترهای Traversal به یک دستگاه است، از این آسیبپذیری سوءاستفاده و بهرهبرداری کند. یک نفوذ موفق این امکان را به مهاجم میدهد تا به صورت تصادفی فایلهای موجود در فایل نرمافزارهای سیستمی روی سیستم هدف را مشاهده کند.

سیستم فایل در وب‌سرویس، زمانی فعال می‌شود که یا با خصوصیات WebVPN یاAnyConnect  پیکربندی شده باشد. از این آسیبپذیری نمیتوان به منظور دسترسی  به فایلهای سیستمی FTD یا ASA و یا فایل‌های اساسی سیستم عامل استفاده نمود.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


سیسکو آپدیت‌های جدید نرمافزاری برای رفع آسیب‌پذیری Read-Only Path Traversal ارائه کرده است. هیچ راهکار دیگری برای رفع این آسیب‌پذیری وجود ندارد.

چه محصولاتی در خطر هستند

این نوع آسیبپذیری، محصولاتی از Cisco را تحت تاثیر قرار می‌دهد که نسخه‌ای آسیبپذیر از نرمافزارCisco ASA یا نرمافزار Cisco FTD با پیکربندی آسیب‌پذیر AnyConnect یا WebVPN را اجرا می‌کنند.

نرم‌افزار ASA

درجدول زیر، ستون سمت چپ، ویژگی‌های آسیب‌پذیری Cisco ASA را فهرست کرده‌است. ستون سمت راست، پیکربندی پایه هر ویژگی از دستور Show Running-config CLI را نشان می‌دهد. اگر سیستم شما بر‌اساس هر‌یک از این ویژگی‌ها پیکربندی شده باشد، آسیب‌پذیر است.

ویژگی Cisco ASA

پیکربندی آسیب‌پذیر

AnyConnect IKEv2 Remote Access (with client services)

crypto ikev2 enable <interface_name> client-services port <port #>

AnyConnect SSL VPN

webvpn
 enable <interface_name>

Clientless SSL VPN

webvpn
 enable <interface_name>

 نرم‌افزار FTD

درجدول زیر، ستون سمت چپ، ویژگی های آسیب‌پذیری Cisco FTD لیست شده است. ستون سمت راست، پیکربندی پایه هر ویژگی از دستور Show Running-config CLI را نشان می‌دهد. اگر سیستم شما بر‌اساس هر‌یک از این ویژگی‌ها پیکربندی شده باشد، آسیب‌پذیر است.

روی دستگاه‌هایی که در آن نرم‌افزار Cisco FTD اجرا شده، دستور Show Running-Config تنها در Diagnostic CLI mode در ‌دسترس است. از دستور  system support diagnostic-cli در نسخه عادی Firepower Threat Defense برای ورود به Diagnostic CLI Mode استفاده کنید.

ویژگی Cisco FTD

پیکربندی آسیب‌پذیر

AnyConnect IKEv2 Remote Access (with client services)1,2

crypto ikev2 enable <interface_name> client-services port <port #>

AnyConnect SSL VPN1,2

webvpn
 enable <interface_name>

1-ویژگی های Remote Access VPN از طریق Devices>VPN>Remote Access در Cisco Firepower Management Center (FMC) یا از طریق Devices>Remote Access>VPN در Cisco Firepower Device Management (FDM) فعال می‌شود.

2- ویژگی‌های Remote Access VPN در ابتدا به عنوان نسخه ارائه شده 6.22 Cisco FTD  پشتیبانی می‌شدند.

چه محصولاتی آسیب‌پذیر نیستند

تنها محصولات نام برد ه‌شده در بخش” چه محصولاتی در خطر هستند” این مطلب، به عنوان محصولات تاثیرپذیر از آسیب‌پذیری Read-Only Path Traversal شناخته شده‌اند. Cisco تایید کرده‌است که این آسیب‌پذیری اثری بر نرم‌افزارCisco Firepower Management Center ندارد.

جزئیات موارد آسیب‌پذیر

مهاجم فقط در فایل‌سیستمِ وب سرویس ها می‌تواند فایلها را مشاهده کند. فایل‌سیستمِ وب‌سرویس برای ویژگی‌های WebVPN و AnyConnect در قسمت محصولات گفته شده در این مطلب که به‌صورت کلی آمده ، فعال است. بنابراین این آسیب‌پذیری شامل فایل‌های سیستمی ASA و FTD و یا فایل‌های سیستم عامل پایه نمی‌شود. فایل‌های وب سرویسی که مهاجم می‌تواند مشاهده کند، ممکن است حاوی اطلاعاتی نظیر پیکربندی WebVPN، Bookmarkها، Cookieهای وب، محتوای جزئی وب و HTTP URLها باشد.

راهکارهای رفع آسیب‌پذیری Read-Only Path Traversal

هیچ راهکاری برای برطرف کردن این آسیب‌پذیری وجود ‌ندارد.

برای کمک به تشخیص و یا جلوگیری از تلاش برای سوءاستفاده از این آسیب‌پذیری که در این مطلب شرح داده شد، مشتریانی که از ویژگی رمزگشایی SSL برای ترافیک تحت تاثیر‌قرارگرفته روی سنسورهای Cisco Firepower استفاده می‌کنند، می‌توانند Snort Rules 54598 را از طریق 54601 در SRU number 2020-07-22-001 با استفاده از Cisco Firepower Management Center  فعال کنند.

نسخه اصلاح شده نرم‌افزار

Cisco نسخه های آپدیت شده‌ی نرم‌افزار را که آسیب‌پذیری ذکرشده در این مطلب را برطرف می‌کنند، منتشرکرده ‌است. مشتریان تنها برای نسخه‌های نرم‌افزار و مجموعه ویژگی‌هایی که لایسنس خریداری کرده‌اند، خدمات نصب و پشتیبانی نصب، دانلود، دسترسی یا استفاده از نسخه های بروزرسانی شده نرم‌افزارهای خدمات پشتیبانی دریات می‌کنند. علاوه برآن، مشتریان تنها زمانی می‌توانند نرم‌افزار را دانلود کنند که دارای لایسنس معتبر خریداری شده به‌طور‌مستقیم از Cisco یا از شریک یا نمایندگی معتبر Cisco باشند. دربسیاری از موارد این نسخه، یک نسخه اصلاح‌شده نرم‌افزاری خواهد بود که قبلا خریداری شده ‌است. آپدیت رایگان جدید نرم‌افزار امنیتی، به معنی حق برخورداری مشتریان از مجوز جدیدی از نرم‌افزار، مجموعه ویژگی‌های جدید نرم‌افزاری اضافه یا نسخه های ارتقاءیافته‌ی اصلاح شده نرم‌افزاری اصلی نیست.

در تمامی موارد، بهتر است مشتریان از وجود حافظه کافی در دستگاه‌های در آستانه آپگرید اطمینان حاصل‌کرده و پشتیبانی مناسب سخت‌افزار و نرم‌افزار کنونی را در ادامه توسط نسخه جدید تایید ‌کنند. درصورت مبهم بودن اطلاعات به مشتریان پیشنهاد می‌شود تا با Cisco Technical Assistance Center (TAC) یا با شرکت‌های ارائه دهنده خدمات طرف قراردادشان تماس برقرارکنند.

مشتریانی که قرارداد دریافت خدمات ندارند

مشتریانی که به صورت مستقیم ازCisco خرید می‌کنند، اما قرداد دریافت خدمات Cisco ندارند، و مشتریانی که خرید خود را از فروشندگان شخص ثالث انجام داده و موفق به کسب نسخه اصلاح‌شده نرم‌افزار از نقطه خرید خود نشده اند باید با برقراری تماس با Cisco TAC از طریق این لینک  نسخه ارتقاءیافته را دریافت نمایند. مشتریان ملزم به داشتن شماره سریال محصول و همچنین آمادگی برای ارائه URL این مقاله مشاوره‌ای به عنوان مدرک، به منظور اثبات استحقاق برای دریافت نسخه آپگرید شده، می‌باشند.

نسخه‌های نرم‌افزاری اصلاح‌شده

در‌جداول زیر، در ستون سمت چپ نسخههای ارائه‌شده نرم‌افزار Cisco فهرست شده‌ است. ستون سمت راست نشان می‌دهد که آیا نسخه ارائه‌شده تحت‌تاثیر آسیب‌پذیری گفته شده در این مطلب هست یا خیر. همچنین اولین نسخه ارائه‌شده که شامل اصلاحات انجام‌شده برای این آسیب‌پذیری است را نشان می‌دهد.

Cisco ASA Software Release

اولین نسخه اصلاح شده برای این آسیب‌پذیری

قدیمی‌تر از نسخه 9.61

Migrate به نسخه اصلاح شده

9.6

9.6.4.42

9.71

Migrate به نسخه اصلاح شده

9.8

9.8.4.20

9.9

9.9.2.74

9.10

9.10.1.42

9.12

9.12.3.12

9.13

9.13.1.10

9.14

9.14.1.10

1– اعتبار ارائه خدمات نسخه های 9.5 و قبل تر از آن و همچنین نسخه 9.7 نرم‌افزار Cisco ASA به پایان رسیده است. بهتر ‌است مشتریان از یک نسخه پشتیبانی دیگر که شامل اصلاحات برای آسیب‌پذیری Read-Only Path Traversal است، استفاده کنند.

Cisco FTD Software Release

اولین نسخه اصلاح شده برای این آسیب‌پذیری

قدیمی تر از 6.2.2

آسیب‌پذیر نیست

6.2.2

Migrate به نسخه اصلاح شده

6.2.3

6.2.3.16

6.3.0

Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
    یا
6.3.0.5 + Hot Fix1 (August 2020)
     یا
6.3.0.6 (Fall 2020)

6.4.0

6.4.0.9 + Hot Fix1
   یا
6.4.0.10 (August 2020)

6.5.0

Migrate  به نسخه 6.6.0.1
    یا
6.5.0.4 + Hot Fix1 (August 2020)
    یا
6.5.0.5 (Fall 2020)

6.6.0

6.6.0.1

2- برای مشاهده جزئیات Hot Fix ، به جدول زیر مراجعه کنید.

Cisco FTD Software Release

Hot Fix File Names

6.3.0.5

(آگوست 2020)

Cisco_FTD_Hotfix_AV-6.3.0.6-3.sh.REL.tar          
Cisco_FTD_SSP_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_AV-6.3.0.6-3.sh.REL.tar

6.4.0.9

Cisco_FTD_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_Hotfix_BM-6.4.0.10-2.sh.REL.tar

6.5.0.4

(آگوست 2020))

Cisco_FTD_Hotfix_O-6.5.0.5-3.sh.REL.tar          
Cisco_FTD_SSP_FP2K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_O-6.5.0.5-3.sh.REL.tar  
Cisco_FTD_SSP_Hotfix_O-6.5.0.5-3.sh.REL.tar

 به منظور ارتقاء نرم‌افزار به یک نسخه اصلاح‌شده از نرمافزار Cisco FTD، می‌توان یکی از راهکارهای زیر را به کار گرفت.

  • برای دستگاه‌هایی که توسط Cisco Firepower Management center (FMC) اداره می‌شوند، از رابط FMC برای نصب نسخه ارتقاءیافته استفاده کنید. پس از تکمیل فرآیند نصب، پالیسی‌های Access Control را مجددا اعمال کنید.
  •  برای دستگاه‌هایی که توسط Cisco Firepower Device Manager مدیریت می‌شوند، از رابط FDM برای نصب نسخه ارتقاءیافته استفاده کنید. پس از تکمیل فرآیند نصب، پالیسی‌های Access Control را مجددا اعمال کنید.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK