به گزارش دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران، بهگفته کارشناسان امنیتی کسپرسکی،در بسیاری از برنامههای امنیتی سیسکو پروتکل امنیتی SSH بهطور پیشفرض گنجانده شده است؛کلیدی که مهاجمان بهعنوان یک آسیبپذیری از آن استفاده میکنند تا بهسادگی به برنامهها نفوذ و دستورات دلخواه خود را اعمال کنند.
سیسکو اعلام کرد سه برنامه Web Security Virtual Appliances، Email Security Virtual Appliances و Control Security Management Virtual Appliances به وسیله این آسیب پذیری آلوده است، اما این حفره از آن جهت اهمیت دارد که ممکن است عملیات سازمانها و کسب و کارها را مختل کند.
هکرهایی که پروتکل پیشفرض SSH را کشف و به آن دسترسی پیدا کنند در عمل میتوانند تمام دادههای ترافیکی را رمزگشایی کنند. این درحالی است که سهم بالای محصولات سیسکو در بازارهای جهانی امنیت دامنه وسیعی از سازمانها را به خطر میاندازد. از قرار معلوم این کلید پیشفرض برای پشتیبانی نرمافزاری در دل محصولات سیسکو گنجانده شده بود.
تیم مشاوره سیسکو در بیانیهای اعلام کرد: وجود یک آسیبپذیری در قابلیت پشتیبانی راه دور سه محصول نرمافزاری Cisco WSAv، Cisco ESAv و Cisco SMAv به مهاجمان امکان میدهد از راه دور به سیستمهای آلوده با سطح دسترسی کاربران root نفوذ کنند.
در قسمت دیگری از این بیانیه آمده است: این آسیبپذیری ناشی از کلید پیشفرض و معتبر SSH میشود که در سه برنامه WSAv، ESAv و SMAv مشترک است. مهاجمان میتوانند از طریق این آسیبپذیری به کلید محرمانه SSH دسترسی پیدا کرده و از آن برای اتصال به WSAv، ESAv یا SMAv استفاده کنند. این حفره دسترسی به سیستمها را با سطح دسترسی کاربر root ممکن میسازد.
تادبردزلی،مدیر مهندسی امنیت شرک Rapid۷ میگوید: اغلب ناشران میانافزار بهخوبی آگاهاند که سیستم مدیریت راه دور برپایه پروتکل Telnet امنیت چندانی ندارد و به همین دلیل استفاده از کنسولهای مدیریتی مبتنی بر پروتکل SSH رو به افزایش است. متأسفانه گهگاه دیده شده که ناشران میانافزار بهطور اشتباهی یک کلید پیشفرض SSH را در تمام محصولات خود بهکار میبرند. SSH بیتردید بهتر از Telnet است، اما کافی است مهاجمان تنها به یکی از سیستمهای که SSH روی آن نصب شده نفوذ کنند تا به تمام سیستمهای مشابه نیز دسترسی پیدا کنند.
وی میافزاید: در برخورد با سیستمهای آسیبپذیری که پروتکل SSH روی آنها راهاندازی شده به ناشران میانافزارها توصیه میکنیم از طریق عملیات First Boot کلید SSH منحصربهفردی را برای هر دستگاه الکترونیکی تعریف کنند. به این ترتیب پروتکل هر کاربر منحصر به همان کاربر خواهد بود. توجه داشته باشید پورت ورود به اینترنت روی سیستمهای دارای پروتکل SSH اغلب بسته است، بنابراین مهاجمان باید به شبکه محلی دسترسی داشته باشند، خواه شبکه فیزیکی یا VPN که دسترسی به محصولات سیسکو را امکانپذیر میکند.
بردزلی میگوید: برای مقابله با آسیبپذیریهای اینچنینی چند شرکت امنیتی ماژولهای Metasploit خود را عرضه کردهاند، چراکه تنها با داشتن کلید نرمافزاری میتوان بهراحتی ماژول Metasploit را نوشت. بهگفته بردزلی، شرکت Rapid۷ درحال تهیه پایگاه دادهای از کلیدهای SSH آلوده است و انتظار میرود پروتکلهای آلوده سیسکو نیز به زودی به این پایگاه داده اضافه شود. مهاجمان از طریق این آسیبپذیری بدون آنکه شناسایی شوند به سیستمهای هدف دسترسی پیدا میکنند. به گفته سیسکو، کشف حفره SSH کار سادهای است، بهخصوص اگر مهاجمان در شبکه هدف نیرویی داشته باشند که در کشف پروتکلها به آنها کمک کند.
تیم مشاوره سیسکو میگوید: سوء استفاده از این حفره روی SMAv در تمام مواردی که این محصول نرمافزاری برای مدیریت برنامههای امنیت محتوی بهکار گرفته میشود امکانپذیر است. دسترسی به پروتکل SSH روی SMAv به مهاجمان امکان میدهد انتقال دادهها به SMAv را رمزگشایی و کارکرد آن را تقلید کنند تا دادههای دستکاری شده را به یک برنامه مدیریت محتوی ارسال با تنظیمات دلخواه کاربران ارسال کنند. مهاجمان همچنین میتوانند از این آسیبپذیری روی لینکهای ارتباطی با هر برنامه امنیت محتوایی که بهوسیله SMAv مدیریت میشد به نفع خود استفاده کنند.
بهگفته سیسکو راهی برای جلوگیری از این آسیبپذیری وجود ندارد. با وجود این سیسکو وصلههایی را برای نسخههای نرمافزاری گوناگون آلوده به این حفره منتشر کرده است. این شرکت همچنین اعلام کرد که این آسیبپذیری هنگام انجام آزمونهای امنیتی درونسازمانی شناسایی شده است. برنامههایی که آسیبپذیری کلید پیشفرض SSH گریبانگیر آنها شده کارکردهای امنیتی گوناگونی از جمله امنیت محتوی، ایمیل و وب را ارائه میکنند.
انتهای پیام/