محقق 10 آسیب پذیری را در فایروال های سیسکو پیدا کرد

محققان تهدید در Rapid7 10 مشکل امنیتی جداگانه در محصولات فایروال سیسکو را افشا کرده اند که می تواند صدها هزار سازمان را در سراسر جهان در معرض حملات سایبری بالقوه جدی زنجیره تامین قرار دهد و هشدار داده است که همه آنها به درستی وصله نشده اند.

آسیب پذیری ها تاثیر می گذارد نرم افزار امنیتی تطبیقی ​​سیسکو فایروال های درجه سازمانی (ASA) و ASA-X، و همچنین رابط کاربری گرافیکی Adaptive Security Device Manager (ASDM) برای مدیریت از راه دور لوازم مبتنی بر ASA، و نرم افزار FirePower Services آن، که به طور خاص از نصب ماژول FirePower پشتیبانی می کند. در Cisco ASA 5500-X با خدمات FirePower.

آنها توسط جیک بینز، محقق ارشد امنیت Rapid7 کشف شدند، که آنها را در فوریه و مارس 2022 به سیسکو فاش کرد و از آن زمان تاکنون به طور گسترده با تامین کننده کیت شبکه کار کرده است. آنها امروز (11 اوت) به طور رسمی به نمایش گذاشته شدند. در کلاه سیاه آمریکا، و دوباره در ادامه نشان داده خواهد شد DEF CON کنفرانس 13 آگوست در زمان نگارش این مقاله، تنها چهار مورد از مشکلات اصلاح شده اند و تنها چهار مورد به عنوان آسیب پذیری و قرار گرفتن در معرض مشترک (CVE) اختصاص داده شده اند.

بینز در بیانیه ای خلاصه که همراه با افشای خود بود، گفت: «سیسکو لیست کامل ویژگی های قابل بهره برداری را آسیب پذیری نمی داند، زیرا بسیاری از سوء استفاده ها در ماشین مجازی در ASA اتفاق می افتد.

با وجود این، مهاجمان همچنان می توانند به شبکه های شرکتی دسترسی داشته باشند، در صورتی که اصلاح نشده باقی بمانند. Rapid7 از سازمان‌هایی که از Cisco ASA استفاده می‌کنند می‌خواهد دسترسی اداری را تا حد امکان منزوی کنند.

سه آسیب پذیری که می توان گفت حیاتی ترین آنهاست به شرح زیر است:

1. CVE-2022-20829 در سیسکو ASDM. این آسیب‌پذیری به این دلیل وجود دارد که بسته باینری ASDM فاقد امضای رمزنگاری برای اثبات معتبر بودن آن است، بنابراین یک بسته مخرب ASDM نصب شده در Cisco ASA می‌تواند منجر به اجرای کد دلخواه در هر کلاینت متصل به آن شود. این امر به ویژه تأثیرگذار است زیرا بسته ADSM قابل توزیع است. این بدان معناست که می‌توان آن را از طریق یک حمله زنجیره تامین، یک منبع مخرب نصب کرد یا به سادگی در اینترنت عمومی به صورت رایگان در دسترس قرار داد تا مدیران بتوانند خودشان را پیدا کنند. وصله نشده است.
2. CVE-2021-1585. این آسیب‌پذیری به یک انسان در وسط یا نقطه پایانی مخرب اجازه می‌دهد تا کد جاوا دلخواه را روی سیستم مدیر ASDM با استفاده از راه‌انداز اجرا کند. سیسکو آن را در جولای 2021 فاش کرد، اما تا زمان انتشار ASDM 7.18.1.150 در ژوئن 2022 آن را اصلاح نکرد. با این حال، Baines نشان داده است که این اکسپلویت همچنان در برابر این نسخه کار می کند.
3. CVE-2022-20828. این یک آسیب‌پذیری از راه دور و احراز هویت است که به یک عامل تهدید اجازه می‌دهد به هنگام نصب ماژول FirePower، با FirePower Services به ریشه در ASA-X دسترسی پیدا کند. از آنجایی که ماژول FirePower کاملاً شبکه ای است و می تواند به خارج و داخل ASA دسترسی داشته باشد، برای مهاجم بسیار مفید است که حملات خود را مخفی کند یا صحنه سازی کند – در نتیجه، قرار دادن ASDM در معرض اینترنت عمومی می تواند برای ASA ها بسیار خطرناک باشد. با استفاده از این ماژول، و علاوه بر این، در حالی که برای اجرای موفقیت آمیز به اعتبار نیاز دارد، طرح احراز هویت پیش‌فرض ASDM اعتبارنامه‌ها را برای مهاجمان فعال man-in-the-middle افشا می‌کند. خوشبختانه در اکثر نسخه های نگهداری شده رفع شده است.

یکی از مسائل کمتر تاثیرگذار دیگر، نقص ثبت اعتبار در مشتری ASDM، اختصاص داده شده است. CVE-2022-20651. به دلایلی که باینز بیان کرد، دیگران این کار را نکرده اند. جزئیات کامل این موارد هستند در دسترس از Rapid7.

Baines گفت که کاربران محصولات آسیب دیده باید درک کنند که فایروال ها، که قرار است عنصری حیاتی برای دور نگه داشتن عوامل تهدید از شبکه باشند، به راحتی قابل دور زدن هستند.

وی افزود که بسیاری از کاربران به وضوح فایروال های سیسکو خود را به درستی به روز نمی کنند، و ادعا کرد که اسکن 15 ژوئن برای پورتال های وب ASDM نشان می دهد که کمتر از 0.5 درصد از وسایلی که در اینترنت قرار دارند به جدیدترین نسخه ASDM 7.18.1 ارتقا یافته اند، با بیشترین میزان نسخه محبوب در طبیعت 7.8.2 است که اکنون پنج سال است که وجود دارد.