توصیه امنیتی مهم سیسکو برای سوئیچهای مدل Nexus
با توجه به تحقیقات انجام شده، سوئیچ های مدل Nexus سری های 3000 و 3500 از شرکت سیسکو حاوی یک حساب کاربری پیش فرض با سطح دسترسی مدیر می باشند. رمز عبور این حساب کاربری به صورت ثابت درون تجهیز وجود دارد و می تواند از طریق ارتباط از راه دور نیز قابل دسترس باشد. شرکت سیسکو به منظور رفع این آسیب پذیری و پاک کردن حساب کاربری پیش فرض موجود بر روی تجهیز، یک آپدیت نرم افزاری برای سوئیچ های Nexus سری های 3000 و 3500 فراهم کرده است.
به گفته سیسکو این حساب کاربری هنگام نصب نرم افزار Cisco NX-OS ایجاد می شود و تغییر و یا حذف این حساب کاربری بدون تأثیر بر عملکرد تجهیز امکان پذیر نیست. سیسکو این آسیب پذیری را در دسته آسیب پذیری های بحرانی قرار داده است، به این دلیل که فرآیند احراز اصالت با این حساب کاربری می تواند به حمله کننده امکان دسترسی به پوسته bash با سطح دسترسی root را بدهد. این امر بدین معنی است که حمله کننده می تواند به طور کامل کنترل تجهیز را در دست گیرد. عاملی که می تواند به طور بالقوه اثر این حمله را کاهش دهد آن است که در بسیاری از نسخه های NX-OS، حساب کاربری پیش فرض موجود فقط از طریق telnet قابل دسترس می باشد و سرویس telnet نیز به صورت پیش فرض غیرفعال است. تنها استثناء در این مورد، سوئیچ Nexus سری 3500 می باشد که نسخه 6.0(2)A6(1) از NX-OS بر روی آن وجود دارد. در این تجهیز علاوه بر telnet از طریق SSH نیز می توان با آن ارتباط برقرارکرد.
تجهیزاتی که این آسیب پذیری بر روی آن ها وجود دارد شامل موارد زیر است:
سوئیچ های سیسکو مدل Nexus سری 3000 که نسخه های NX-OS زیر بر روی آن ها در حال اجراست:
- 6.0(2)U6(1)
- 6.0(2)U6(2)
- 6.0(2)U6(3)
- 6.0(2)U6(4)
- 6.0(2)U6(5)
سوئیچ های سیسکو مدل Nexus سری 3500 که نسخه های NX-OS زیر بر روی آن ها در حال اجراست:
- 6.0(2)A6(2)
- 6.0(2)A6(3)
- 6.0(2)A6(4)
- 6.0(2)A6(5)
- 6.0(2)A7(1)
سیسکو برای تمام این نسخه ها، نسخه اصلاح شده فراهم کرده است. البته توصیه سیسکو به مشتریان خود، ارتقاء NX-OS برای سوئیچ های سری 3000 به نسخه 6.0(2)U6(5a) و برای سوئیچ های سری 3500 به نسخه 6.0(2)A7(1a) یا 6.0(2)A6(5a) می باشد. نسخه های ذکرشده دارای وصله های امنیتی برای دو آسیب پذیری دیگر نیز می باشند که می توانند منجر به DOS شدن تجهیز شوند. برای مشاهده نسخه فعلی NX-OS می توان از دستور زیر استفاده کرد:
# show version Cisco Nexus Operating System (NX-OS) Software TAC support: http://www.cisco.com/tac Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved. The copyrights to certain works contained herein are owned by other third parties and are used and distributed under license. Some parts of this software are covered under the GNU Public License. A copy of the license is available at http://www.gnu.org/licenses/gpl.html. Software BIOS: version 2.6.0 loader: version N/A kickstart: version 6.0(2)U6(2) system: version 6.0(2)U6(2)
همچنین برای مشاهده فعال و یا غیر فعال بودن سرویس telnet با سطح دسترسی مدیر بایستی دستور زیر را اجرا کرد:
# show feature | incl telnet telnetServer 1 disabled
سال نو مبارک.
جالب بود.
سلام…ممنون…لطفا مطالب ، کتب و شبیه ساز های مربوط به Nexus روبیشتر کنید
tx