بهتر است بدانیم ...
آدرس های DNS ای که باید به خاطر داشته باشید!
نویسنده : یاسر تیمورزاده
چه برنامه نویس باشید، چه مدیر سیستم و یا در هر حوزه ای از فناوری اطلاعات باشید احتمالا برای عیب یابی سیستم ها از آدرس های IP خاصی استفاده می کنید و اگر مثل من باشید سال ها است که از یک سری IP های خاص استفاده می کنید. این چنین IP هایی می توانند در مواقع متفاوتی کاربرد داشته باشند برای مثال:
تست اتصال با دستور ping
تست تبدیل نام با استفاده از dig یا nslookup
به روز رسانی تنظیمات DNS
سرویس دهنده های DNS از این جهت مورد علاقه من هستند که با آنها هم می توان اتصال سیستم را بررسی کرد و هم از تبدیل نام مطمئن شد. برای این کار مدت هاست که از سرویس دهنده های DNS گوگل استفاده می کنم:
8.8.8.8
8.8.4.4
اما مشکلی که روی این سرویس دهنده های DNS وجود دارد این است که فیلترینگی روی آنها اعمال نشده و در سال های اخیر کاربران کمتر تمایل دارند درخواست هایشان را به سمت سرورهای گوگل هدایت کنند.
جایگزین هایی برای سرویس دهنده DNS گوگل
برای مدتی استفاده از سرویس های Umbrella شرکت سیسکو استفاده می کردم چون می تواند فیلترینگ آدرس ها را به صورت خودکار انجام دهد. این سرویس دهنده ها مجموعه ای از URL های خطرناک را دسته بندی کرده و آنها را به صورت خودکار فیلتر می کنند که می تواند یک گام اولیه در حفاظت در برابر بدافزارها باشد.
208.67.222.222
208.67.220.220
سرورهای OpenDNS سرورهای خیلی خوبی هستند اما همیشه مجبور بوده ام آنها را حفظ کنم یا جایی یادداشت شان کنم. اما چند سالی است که سرورهایی خدمات ارائه می کنند که علاوه بر سرعت و کارکرد، حفظ کردنشان هم کار ساده ای است. یکی از ساده ترین سرویس دهنده هایی که کار فیلترینگ را هم انجام می دهد سرور 4-9 (چهار نه) IBM است که همانطور که از اسمش پیداست از 4 تا عدد 9 تشکیل شده است:
9.9.9.9
در ابتدای ارائه این سرویس کمی از آن استفاده کردم اما کمی کند به نظر می رسید که احتمالا تا کنون این مسئله رفع شده. در ادامه بیشتر روی مسئله عملکرد بهینه صحبت می کنم.
CloudFlare وارد می شود!
هر چند گوگل، سیسکو و IBM گزینه هایی با قابلیت های فیلترینگ متفاوت ارائه می کنند شرکت Cloud Flare با دیدگاهی متفاوت وارد این حوزه شده است. سرویس دهنده های این شرکت –مطابق آنچه در وب سایت شرکت مطرح شده- به جای تمرکز روی فیلترینگ، بحث حریم خصوصی را در اولویت قرار داده اند:
«بعضی از ارائه دهندگان سرویس بازگشتی DNS ادعا می کنند که چون از DNSSEC استفاده می کنند سرویس هایش ان امن است. هر چند استفاده از این پروتکل روش ایمین است اما طنز تلخ ماجرا این جاست که کاربران این سرویس ها حفاظتی در برابر خود این شرکت ها ندارند. بسیاری از این شرکت ها داده های DNS مشتریان را برای استفاده های تجاری جمع آوری می کنند. در مقابل سرویس دهنده 1.1.1.1 هیچ داده ای مربوط به کاربران را جمع آوری نمی کند. فایل های سابقه (Log) به مدت 24 ساعت و فقط برای عیب یابی نگهداری شده و سپس کاملا حذف می شوند.»
از نظر قابل حفظ بودن هم این دو گزینه از همه جذاب تر هستند:
1.1.1.1
1.0.0.1
این دو سرویس دهنده هر چند امکان فیلترینگ را ندارند اما هیچ گونه سابقی ای نگهداری نمی کنند و ردگیری کاربران را هم انجام نمی دهند.
سرویس دهنده ConnectSafe نورتون
نورتون هم چندین سرویس دهنده DNS عمومی دارد که در سطوح مختلف امکان فیلترینگ URL را ارائه می کنند:
بلوک کردن سایت های بدافزار و کلاه برداری
199.85.126.10
199.85.127.10
بلوک کردن محتوای جن*سی
199.85.126.20
199.85.127.20
بلوک کردن محتوای بالغ از انواع مختلف
199.85.126.30
199.85.127.30
توصیه من
البته کارایی یکی از مهم ترین گزینه هاست و بسته به اینکه کجا باشید می تواند متفاوت باشد اما در بررسی های اخیر تمامی این گزینه ها از نظر سرعت پاسخ دهی بسیار به هم نزدیک هستند. توصیه های نهایی من برای سرویس دهنده DNS به این ترتیب هستند:
اگر می خواهید سرعت، حریم خصوصی و به یادسپاری آسان را داشته باشید انتخاب اصلی CloudFlare است.
1.1.1.1
1.0.0.1
اگر هدف شما فیلترینگ URL است توصیه می کنم به جای Umbrella سیسکو از سرور چهار-نه IBM استفاده کند. دلیل این توصیه هم ساده تر بودن آدرس و داشتن منابع هوشمند تهدیدات متعدد است.
9.9.9.9
اگر می خواهید سطوح متعددی از فیلترینگ را اعمال کنید می توانید سراغ گزینه نورتون بروید. هر چند گزینه شخصی من چهار-نه است. اما گزینه نورتون می تواند برای مواردی مثل مدارس که بتوان گزینه DNS را به صورت اجباری تنظیم کرد انتخاب مناسبی است
آدرس های DNS ای که باید به خاطر داشته باشید!
نویسنده : یاسر تیمورزاده
چه برنامه نویس باشید، چه مدیر سیستم و یا در هر حوزه ای از فناوری اطلاعات باشید احتمالا برای عیب یابی سیستم ها از آدرس های IP خاصی استفاده می کنید و اگر مثل من باشید سال ها است که از یک سری IP های خاص استفاده می کنید. این چنین IP هایی می توانند در مواقع متفاوتی کاربرد داشته باشند برای مثال:
تست اتصال با دستور ping
تست تبدیل نام با استفاده از dig یا nslookup
به روز رسانی تنظیمات DNS
سرویس دهنده های DNS از این جهت مورد علاقه من هستند که با آنها هم می توان اتصال سیستم را بررسی کرد و هم از تبدیل نام مطمئن شد. برای این کار مدت هاست که از سرویس دهنده های DNS گوگل استفاده می کنم:
8.8.8.8
8.8.4.4
اما مشکلی که روی این سرویس دهنده های DNS وجود دارد این است که فیلترینگی روی آنها اعمال نشده و در سال های اخیر کاربران کمتر تمایل دارند درخواست هایشان را به سمت سرورهای گوگل هدایت کنند.
جایگزین هایی برای سرویس دهنده DNS گوگل
برای مدتی استفاده از سرویس های Umbrella شرکت سیسکو استفاده می کردم چون می تواند فیلترینگ آدرس ها را به صورت خودکار انجام دهد. این سرویس دهنده ها مجموعه ای از URL های خطرناک را دسته بندی کرده و آنها را به صورت خودکار فیلتر می کنند که می تواند یک گام اولیه در حفاظت در برابر بدافزارها باشد.
208.67.222.222
208.67.220.220
سرورهای OpenDNS سرورهای خیلی خوبی هستند اما همیشه مجبور بوده ام آنها را حفظ کنم یا جایی یادداشت شان کنم. اما چند سالی است که سرورهایی خدمات ارائه می کنند که علاوه بر سرعت و کارکرد، حفظ کردنشان هم کار ساده ای است. یکی از ساده ترین سرویس دهنده هایی که کار فیلترینگ را هم انجام می دهد سرور 4-9 (چهار نه) IBM است که همانطور که از اسمش پیداست از 4 تا عدد 9 تشکیل شده است:
9.9.9.9
در ابتدای ارائه این سرویس کمی از آن استفاده کردم اما کمی کند به نظر می رسید که احتمالا تا کنون این مسئله رفع شده. در ادامه بیشتر روی مسئله عملکرد بهینه صحبت می کنم.
CloudFlare وارد می شود!
هر چند گوگل، سیسکو و IBM گزینه هایی با قابلیت های فیلترینگ متفاوت ارائه می کنند شرکت Cloud Flare با دیدگاهی متفاوت وارد این حوزه شده است. سرویس دهنده های این شرکت –مطابق آنچه در وب سایت شرکت مطرح شده- به جای تمرکز روی فیلترینگ، بحث حریم خصوصی را در اولویت قرار داده اند:
«بعضی از ارائه دهندگان سرویس بازگشتی DNS ادعا می کنند که چون از DNSSEC استفاده می کنند سرویس هایش ان امن است. هر چند استفاده از این پروتکل روش ایمین است اما طنز تلخ ماجرا این جاست که کاربران این سرویس ها حفاظتی در برابر خود این شرکت ها ندارند. بسیاری از این شرکت ها داده های DNS مشتریان را برای استفاده های تجاری جمع آوری می کنند. در مقابل سرویس دهنده 1.1.1.1 هیچ داده ای مربوط به کاربران را جمع آوری نمی کند. فایل های سابقه (Log) به مدت 24 ساعت و فقط برای عیب یابی نگهداری شده و سپس کاملا حذف می شوند.»
از نظر قابل حفظ بودن هم این دو گزینه از همه جذاب تر هستند:
1.1.1.1
1.0.0.1
این دو سرویس دهنده هر چند امکان فیلترینگ را ندارند اما هیچ گونه سابقی ای نگهداری نمی کنند و ردگیری کاربران را هم انجام نمی دهند.
سرویس دهنده ConnectSafe نورتون
نورتون هم چندین سرویس دهنده DNS عمومی دارد که در سطوح مختلف امکان فیلترینگ URL را ارائه می کنند:
بلوک کردن سایت های بدافزار و کلاه برداری
199.85.126.10
199.85.127.10
بلوک کردن محتوای جن*سی
199.85.126.20
199.85.127.20
بلوک کردن محتوای بالغ از انواع مختلف
199.85.126.30
199.85.127.30
توصیه من
البته کارایی یکی از مهم ترین گزینه هاست و بسته به اینکه کجا باشید می تواند متفاوت باشد اما در بررسی های اخیر تمامی این گزینه ها از نظر سرعت پاسخ دهی بسیار به هم نزدیک هستند. توصیه های نهایی من برای سرویس دهنده DNS به این ترتیب هستند:
اگر می خواهید سرعت، حریم خصوصی و به یادسپاری آسان را داشته باشید انتخاب اصلی CloudFlare است.
1.1.1.1
1.0.0.1
اگر هدف شما فیلترینگ URL است توصیه می کنم به جای Umbrella سیسکو از سرور چهار-نه IBM استفاده کند. دلیل این توصیه هم ساده تر بودن آدرس و داشتن منابع هوشمند تهدیدات متعدد است.
9.9.9.9
اگر می خواهید سطوح متعددی از فیلترینگ را اعمال کنید می توانید سراغ گزینه نورتون بروید. هر چند گزینه شخصی من چهار-نه است. اما گزینه نورتون می تواند برای مواردی مثل مدارس که بتوان گزینه DNS را به صورت اجباری تنظیم کرد انتخاب مناسبی است
✨توضیحاتی در رابطه با آسیب پذیری Runc - Malicious container escape , CVE-2019-5736
در سال هاي اخیر شاهد گسترش و فراگیر شدن استفاده از کانتینرها بوده ایم اما هفته پیش خبری منتشر شد که حاکی از کشف آسیب پذیری مهمی در runc بود که با کد CVE-2019-5736 ثبت شده است و این هشداری بود برای تمرکز بیشتر روی امنیت این تکنولوژی نوظهور. به زبان ساده این آسیب پذیری اجازه می دهد که پروسه هایی که با سطح دسترسی root در یک کانتینر اجرا شده است با استفاده از یک باگ در runc به میزبان (Host) آن نفوذ کند وآن هم باسطح دسترسی root !!
اما Runc چیست؟ Runc یک ابزار سطح پایین است که در حقیقت قلب سیستمهای کانتینری است. تکنولوژی های کانتینرسازی مانند Docker, Containerd, CRI-O در لینوکس بالای Runc اجرا می شوند و Data Formatting و Serialization از طریق آن برای کانتینرها فراهم می شود. تصمیم بر این شده است که تا زمان ارایه و اعمال وصله امنیتی برای آن در سیستم های مختلف از انتشار جزییات کامل خودداری شود اما در لینک زیر بررسی فنی این آن را می توانيد مطالعه نمایید:
https://www.openwall.com/lists/oss-security/2019/02/11/2
در سال هاي اخیر شاهد گسترش و فراگیر شدن استفاده از کانتینرها بوده ایم اما هفته پیش خبری منتشر شد که حاکی از کشف آسیب پذیری مهمی در runc بود که با کد CVE-2019-5736 ثبت شده است و این هشداری بود برای تمرکز بیشتر روی امنیت این تکنولوژی نوظهور. به زبان ساده این آسیب پذیری اجازه می دهد که پروسه هایی که با سطح دسترسی root در یک کانتینر اجرا شده است با استفاده از یک باگ در runc به میزبان (Host) آن نفوذ کند وآن هم باسطح دسترسی root !!
اما Runc چیست؟ Runc یک ابزار سطح پایین است که در حقیقت قلب سیستمهای کانتینری است. تکنولوژی های کانتینرسازی مانند Docker, Containerd, CRI-O در لینوکس بالای Runc اجرا می شوند و Data Formatting و Serialization از طریق آن برای کانتینرها فراهم می شود. تصمیم بر این شده است که تا زمان ارایه و اعمال وصله امنیتی برای آن در سیستم های مختلف از انتشار جزییات کامل خودداری شود اما در لینک زیر بررسی فنی این آن را می توانيد مطالعه نمایید:
https://www.openwall.com/lists/oss-security/2019/02/11/2
آسیبپذیری بحرانی اجرای کد در پروتکل RDP که کلاینتهای آن را تحت تاثیر قرار میدهد
چندین ضعف بحرانی در استفاده رایج کاربران از پروتکل RDP کشف شده که به مهاجمین امکان اجرای کد (بصورت از راه دور) را بر روی کلاینت کاربران میسر میسازد. براساس گزارش منتشر شده، نسخه متن باز و محصول RDP Client مایکروسافت در معرض خطر مهاجمینیست که اقدام به راه اندازی سرور مخرب RDP در شبکه کردهاند و یا با استفاده از آسیبپذیریهای دیگر باعث افشای اطلاعات حساس کاربران شدهاند.
در یک سناریوی رایج، کاربر با استفاده از نسخه کلاینت RDP به یک سرور راه دور که نسخه RDP سرور بر روی آن فعال است متصل میشود و بسته به نوع دسترسی می تواند به منابع آن سیستم دسترسی داشته باشد، حال اگر همین عمل بصورت معکوس در نظر گرفته شود چه نقاط ضعفی دارد؟ محققان تحلیلی ارائه کرده اند که در آن به بیان چگونگی حمله به کلاینت متصل به RDP سرور پرداختهاند. به گفته محققان ۱۶ آسیب پذیری اساسی و در نهایت ۲۵ آسیب پذیری امنیتی در این آنالیز مورد بررسی قرار گرفت که این بررسی شامل کلاینت های mstsc.exe ،FreeRDP و rDesktop بوده است.
منبع خبر : offsec
چندین ضعف بحرانی در استفاده رایج کاربران از پروتکل RDP کشف شده که به مهاجمین امکان اجرای کد (بصورت از راه دور) را بر روی کلاینت کاربران میسر میسازد. براساس گزارش منتشر شده، نسخه متن باز و محصول RDP Client مایکروسافت در معرض خطر مهاجمینیست که اقدام به راه اندازی سرور مخرب RDP در شبکه کردهاند و یا با استفاده از آسیبپذیریهای دیگر باعث افشای اطلاعات حساس کاربران شدهاند.
در یک سناریوی رایج، کاربر با استفاده از نسخه کلاینت RDP به یک سرور راه دور که نسخه RDP سرور بر روی آن فعال است متصل میشود و بسته به نوع دسترسی می تواند به منابع آن سیستم دسترسی داشته باشد، حال اگر همین عمل بصورت معکوس در نظر گرفته شود چه نقاط ضعفی دارد؟ محققان تحلیلی ارائه کرده اند که در آن به بیان چگونگی حمله به کلاینت متصل به RDP سرور پرداختهاند. به گفته محققان ۱۶ آسیب پذیری اساسی و در نهایت ۲۵ آسیب پذیری امنیتی در این آنالیز مورد بررسی قرار گرفت که این بررسی شامل کلاینت های mstsc.exe ،FreeRDP و rDesktop بوده است.
منبع خبر : offsec
هشدار امنیتی !!!
هشدار امنیتی در خصوص افزایش شدید حملات بر بستر RDP
بنابر گزارش شرکت امن پرداز (آنتی ویروس پادویش)، در روزهای گذشته شبکههای شرکتها و سازمانهای سراسر کشور، شاهد حجم بسیار بالایی از حملات هک و نفوذ به واسطه سرویس ریموت دسکتاپ و یا ابزارهای ریموت کلاینتی (مانند # AnyDesk و ابزارهای مشابه) بودهاند. لذا توصیه همیشگی در مسدود سازی یا محدودسازی سرویسهای مدیریتی دسترسی از راه دور از جمله # RDP مجددا تکرار میگردد. ضروری است که از سوی مسئولین شبکه های سازمانها و شرکتها جهت جلوگیری از بروز اینگونه حملات اقداماتی پیشگیرانه نظیر تهیه پشتیبان بهروز از اطلاعات حیاتی، غیرفعال کردن فوری دسترسیهای مدیریتی راه دور و ... صورت پذیرد
هشدار امنیتی !!!
آسیب پذیری روترهای میکروتیک با شناسه CVE-2019-3924
آسیبپذیری حیاتی جدید در روترهای # میکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را میدهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیبپذیری مهاجم میتواند به نوعی فایروال را دور بزند. شماره این آسیبپذیری CVE-2019-3924 بوده و حمله از طریق شبکه و بهصورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهرهگیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستمعامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.
@futuresnet
هشدار امنیتی در خصوص افزایش شدید حملات بر بستر RDP
بنابر گزارش شرکت امن پرداز (آنتی ویروس پادویش)، در روزهای گذشته شبکههای شرکتها و سازمانهای سراسر کشور، شاهد حجم بسیار بالایی از حملات هک و نفوذ به واسطه سرویس ریموت دسکتاپ و یا ابزارهای ریموت کلاینتی (مانند # AnyDesk و ابزارهای مشابه) بودهاند. لذا توصیه همیشگی در مسدود سازی یا محدودسازی سرویسهای مدیریتی دسترسی از راه دور از جمله # RDP مجددا تکرار میگردد. ضروری است که از سوی مسئولین شبکه های سازمانها و شرکتها جهت جلوگیری از بروز اینگونه حملات اقداماتی پیشگیرانه نظیر تهیه پشتیبان بهروز از اطلاعات حیاتی، غیرفعال کردن فوری دسترسیهای مدیریتی راه دور و ... صورت پذیرد
هشدار امنیتی !!!
آسیب پذیری روترهای میکروتیک با شناسه CVE-2019-3924
آسیبپذیری حیاتی جدید در روترهای # میکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را میدهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیبپذیری مهاجم میتواند به نوعی فایروال را دور بزند. شماره این آسیبپذیری CVE-2019-3924 بوده و حمله از طریق شبکه و بهصورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهرهگیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستمعامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.
@futuresnet
اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.
@futuresnet
@futuresnet
⚠️ آسیب پذیری zero day در مرورگر کروم.
گوگل می گوید این آسیب پذیری بسیار شدید است و فعلا جزئیاتی را ارائه نداده است. پست وبلاگ گوگل در مورد آسیب پذیری آن را "CVE-2019-5786: Use-after-free در FileReader" می نامد.
این حمله شامل API Chrome FileReader است. و اجازه می دهد مرورگر برای دسترسی به فایل های محلی بر روی سیستم کاربر مجوز داشته باشد و براحتی قادر به نصب برنامه بر روی سیستم کاربر می باشد. در تمام سیستم عامل ها مانند لینوکس، ویندوز و مک آسیب پذیری قابل اجرا می باشد.
@futuresnet
گوگل می گوید این آسیب پذیری بسیار شدید است و فعلا جزئیاتی را ارائه نداده است. پست وبلاگ گوگل در مورد آسیب پذیری آن را "CVE-2019-5786: Use-after-free در FileReader" می نامد.
این حمله شامل API Chrome FileReader است. و اجازه می دهد مرورگر برای دسترسی به فایل های محلی بر روی سیستم کاربر مجوز داشته باشد و براحتی قادر به نصب برنامه بر روی سیستم کاربر می باشد. در تمام سیستم عامل ها مانند لینوکس، ویندوز و مک آسیب پذیری قابل اجرا می باشد.
@futuresnet
مرکز ماهر:
افزایش تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور
در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور به شدت افزایش پیدا کرده است.
بیش از ۷۵۰۰ دستگاه دارای این ضعف امنیتی در سطح کشور شناسایی شده. این درگاه مربوط به یک قابلیت مستند نشده دیباگ در این تجهیزات است
Www.Cert.ir/news/12645
افزایش تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور
در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور به شدت افزایش پیدا کرده است.
بیش از ۷۵۰۰ دستگاه دارای این ضعف امنیتی در سطح کشور شناسایی شده. این درگاه مربوط به یک قابلیت مستند نشده دیباگ در این تجهیزات است
Www.Cert.ir/news/12645
خبر !
انتشار وصله برای بسياری از نقصهای جدی سوئيچهای Nexus توسط سيسکو
# سیسکو در هفتهی اول ماه مارس سال 2019 بیش از دو دوجین آسیبپذیری جدی را در سوئیچهای Nexus برطرف ساخته است. این آسیبپذیریها در صورتی که مورد سوءاستفاده قرار بگیرند میتوانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیهنامههای جداگانهای برای هر یک از این نقصها متشر شده است که بسیاری از آنها، نرمافزار NX-OS که سوئیچهای Nexus را روشن میکند و برخی دستگاههای دیگر سیسکو را تحتتأثیر قرار میدهد.
شکافهای امنیتی که با شدت «بالا» رتبهبندی شدهاند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیادهسازی پوستهی Bash، پیادهسازی پروتکل FCoE NPV، اجزای سیستمفایل، پشتهی شبکه، اجزای Fabric Services، ویژگی NX-API و پیادهسازی 802.1X را تحتتأثیر قرار میدهند.
بسیاری از این نقصها به مهاجمان داخلی مجاز اجازه میدهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرمافزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوستهی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیبپذیریها که میتوانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه میدهند منجر به یک وضعیت DoS در دستگاههای متأثر شوند. یکی از این نقصها میتواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بستههای HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیبپذیریها توسط خود سیسکو کشف شدهاند و به گفتهی این شرکت، تاکنون سوءاستفادهی مخربی از این آسیبپذیریها مشاهده نشده است.
سیسکو یک توصیهنامهی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور میکند شبکههایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیشفرض فعال است و بدین منظور طراحی شده است تا به سازمانها کمک کند راهاندازی و پیکربندی اولیهی سوئیچهای Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخدهی میپذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، میتواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه میدهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیادهسازی اولیهی POAP دارای گزینهای برای غیرفعالسازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعالکردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان میتوانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین میکند POAP طی بوت بعدی شروع به کار نمیکند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصلههایی که سیسکو در هفتهی اول ماه مارس سال جاری منتشر ساخته است در وبسایت آن در دسترس است
انتشار وصله برای بسياری از نقصهای جدی سوئيچهای Nexus توسط سيسکو
# سیسکو در هفتهی اول ماه مارس سال 2019 بیش از دو دوجین آسیبپذیری جدی را در سوئیچهای Nexus برطرف ساخته است. این آسیبپذیریها در صورتی که مورد سوءاستفاده قرار بگیرند میتوانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیهنامههای جداگانهای برای هر یک از این نقصها متشر شده است که بسیاری از آنها، نرمافزار NX-OS که سوئیچهای Nexus را روشن میکند و برخی دستگاههای دیگر سیسکو را تحتتأثیر قرار میدهد.
شکافهای امنیتی که با شدت «بالا» رتبهبندی شدهاند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیادهسازی پوستهی Bash، پیادهسازی پروتکل FCoE NPV، اجزای سیستمفایل، پشتهی شبکه، اجزای Fabric Services، ویژگی NX-API و پیادهسازی 802.1X را تحتتأثیر قرار میدهند.
بسیاری از این نقصها به مهاجمان داخلی مجاز اجازه میدهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرمافزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوستهی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیبپذیریها که میتوانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه میدهند منجر به یک وضعیت DoS در دستگاههای متأثر شوند. یکی از این نقصها میتواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بستههای HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیبپذیریها توسط خود سیسکو کشف شدهاند و به گفتهی این شرکت، تاکنون سوءاستفادهی مخربی از این آسیبپذیریها مشاهده نشده است.
سیسکو یک توصیهنامهی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور میکند شبکههایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیشفرض فعال است و بدین منظور طراحی شده است تا به سازمانها کمک کند راهاندازی و پیکربندی اولیهی سوئیچهای Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخدهی میپذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، میتواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه میدهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیادهسازی اولیهی POAP دارای گزینهای برای غیرفعالسازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعالکردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان میتوانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین میکند POAP طی بوت بعدی شروع به کار نمیکند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصلههایی که سیسکو در هفتهی اول ماه مارس سال جاری منتشر ساخته است در وبسایت آن در دسترس است