نقص حیاتی در سوئیچ های سیسکو The stack-based buffer overflow vulnerability (CVE-2018-0171)
تکمیلی: پیرو انتشار توصیه نامه اخیر سیسکو به تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت Smart_Install، به اطلاع می رساند بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راهاندازی مجدد (reload) دستگاه لغو گشته و سرویس Smart Install مجددا فعال میگردد. تجهیزات تحت تاثیر این نقص عبارتند از:
- Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2Cisco Ca
- talyst 6500 Series Switches: 15.1(2)SY11, 15.2(1)SY5, 15.2(2)SY3Cisco
- Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2aCisco ME
- 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11
لذا اکیدا توصیه می گردد در صورت استفاده از این تجهیزات نسبت به #بروزرسانی_IOS و یا استفاده از #ACL بمنظور مسدود سازی ترافیک ورودی به #پورت__4786_TCP تجهیز اقدام نمایید.
محققان امنیتی Embedi، یک آسیبپذیری حیاتی در نرمافزار IOS و IOS XE سیسکو افشا کردند که به مهاجم از راه دور اجازه میدهد کد دلخواه خود را اجرا نموده و کنترل کامل تجهیزات شبکهی آسیبپذیر را به دست بگیرد و از این طریق مانع عبور ترافیک گردد. محققان مجموعاً ۸.۵ میلیون دستگاه با پورت آسیبپذیر باز در اینترنت یافتند. این آسیبپذیری همچنین میتواند با تریگر نمودن یک حلقه نامحدود بر روی دستگاه آلوده منجر به حملهی DoS گردد.
دستگاه های آلوده شده توسط این آسیبپذیری:
?Catalyst 4500 Supervisor Engines
?Catalyst 3850 Series
?Catalyst 3750 Series
?Catalyst 3650 Series
?Catalyst 3560 Series
?Catalyst 2960 Series
?Catalyst 2975 Series
?IE 2000
?IE 3000
?IE 3010
?IE 4000
?IE 4010
?IE 5000
?SM-ES2 SKUs
?SM-ES3 SKUs
?NME-16ES-1G-P
?SM-X-ES3 SKUs
سیسکو در ۲۸ مارس ۲۰۱۸ این آسیبپذیری را در تمام محصولات آلودهی خود رفع نمود. بنابراین، به شدت به مدیران توصیه میگردد بروزرسانیهای نرمافزاری رایگان را در اسرع وقت نصب نمایند…
برای بستن این آسیبپذیری:
دستور show vstack config وارد کنید اگر smart install فعال هست دستور no vstack بزنید که فیچر کلا غیرفعال شود . اگر دستور در سوییچ شما کار نکرد ، از طریق acl اقدام کنید و به غیر از پورت های ضروری ، دیگر پورت ها بسته شود . آخرین ios را از سایت رسمی دریافت و اقدام به آپگرید نمایید .
هشدار : قبل از هر گونه اقدامی بر روی سوییچ ها ، ازآن ها بکاپ تهیه نمایید.
آسیب پذیری فوق از طریق پورت 4786 صورت گرفته است . لازم است مدیران سیستم با استفاده از دستور “no vstack” نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبهی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
- با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
- قابلیت آسیب پذیر smart install client را با اجرای دستور “no vstack” غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد.
- رمز عبور قبلی تجهیز تغییر داده شود.
- توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.
- Design
تشکر مهندس