این نقص امنیتی که به صورت CVE-2018-15465 ردیابی میشود، میتواند توسط یک مهاجم احراز هویت نشده و راه دور مورد سوءاستفاده قرار گیرد تا عملیات ممتاز را با استفاده از واسط مدیریتی وب انجام دهد. برای سوءاستفاده از این نقص لازم است مهاجم درخواستهای HTTP خاصی را از طریق HTTPS به یک دستگاه متأثر به عنوان یک کاربر غیرممتاز ارسال کند.
مهاجم با سوءاستفاده از این نقص میتواند پیکربندی در حال اجرا را تغییر دهد یا دانلود کند و همچنین سختافزار تجهیزات را آپلود یا جایگزین کند. مهاجم میتواند سخت افزار را با نسخه قدیمیتر آن جایگزین کند و سپس از آسیبپذیریهای شناخته شده موجود در آن، سوءاستفاده کند.
مشکل این است که مجوزهای کاربر هنگام استفاده از واسط مدیریتی وب بهدرستی اعتبارسنجی نمیشوند و هنگامی که احراز هویت فرمان (command authentication) در تجهیزات امنیتی سازگار سیسکو غیرفعال باشد (وضعیت پیشفرض) میتواند مورد سوءاستفاده قرار گیرد.
هنگامی که احرازهویت فرمان فعال نباشد، ASA تنها بین کاربران غیرممتاز (سطح 0 و 1) و کاربران ممتاز (سطوح 2 تا 15) تمایز قایل میشود. انتظار میرود کاربران ممتاز (سطوح 2 تا 15) از طریق واسط مدیریتی وب دسترسی کامل مدیریتی حتی بدون دانستن گذرواژه به ASA داشته باشند،
با توجه به اینکه این آسیبپذیری تنها زمانی کار میکند که احرازهویت فرمان غیرفعال شده باشد، راه حل این آسیبپذیری شامل فعالسازی احراز هویت فرمان بهمنظور جلوگیری از سوءاستفاده است.
این امر به طور قابل توجهی حالتی را که در آن ASA سیسکو سطوح امتیاز و عملیات احراز هویت را تفسیر میکند، تغییر میدهد و مدیران باید عملیات مجاز در هر سطح امتیاز را تعریف کنند. به گفتهی سیسکو، مدیران نباید فرمان aaa فرمان احراز هویت را تا زمانی که این فعالیتها را تعریف نکردهاند، فعال سازند.
مدیرانی که از مدیر دستگاه امنیتی سازگار (ASDM) برای مدیریت ASA استفاده میکنند، باید احرازهویت فرمان را از طریق ASDM فعال سازند تا مطمئن شوند عملیات ASDM مناسبی پس از فرمان احرازهویت فعال شده است.
نرم افزار ASA در حال اجرا بر روی هر محصول سیسکو که دسترسی مدیریت وب آن فعال است، تحتتأثیر این آسیبپذیری قرار گرفته است. نرمافزار Firepower Threat Defense تحتتأثیر این آسیبپذیر قرار نگرفته است.
سیسکو به مشتریان خود توصیه میکند به نسخههای پشتیبانشده (9.4.4.29، 9.6.4.20، 9.8.3.18، 9.9.2.36 یا 9.10.1.7) مهاجرت کنند.
بر اساس نتیجهگیریهای سیسکو، برای اینکه رفع این آسیبپذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آنها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است. به طور خاص، فرمان {LOCAL | } کنسول http احراز هویت aaa باید وجود داشته باشد.
انتهای پیام/