شناسایی حفره امنیتی ناشی از وجود پروتکل پیش‌فرض SSH در برنامه‌های امنیتی سیسکو

به گزارش پایگاه اطلاع رسانی پایداری ملی، به‌گفته کارشناسان امنیتی کسپرسکی، در بسیاری از برنامه‌های امنیتی سیسکو پروتکل امنیتی SSH به‌طور پیش‌فرض گنجانده شده؛ کلیدی که مهاجمان به‌عنوان یک آسیب‌پذیری از از آن استفاده می‌کنند تا به‌سادگی به برنامه‌ها نفوذ و دستورات دل‌خواه خود را اعمال کنند. 

سیسکو اعلام کرد که سه برنامه Web Security Virtual Appliances، Email Security Virtual Appliances و Control Security Management Virtual Appliances به‌وسیله این آسیب‌پذیری آلوده است، اما این حفره از آن جهت اهمیت دارد که ممکن است عملیات سازمان‌ها و کسب و کارها را مختل کند. 

هکرهایی که پروتکل پیش‌فرض SSH را کشف و به آن دسترسی پیدا کنند در عمل می‌توانند تمام داده‌های ترافیکی را رمزگشایی کنند. این درحالی است که سهم بالای محصولات سیسکو در بازارهای جهانی امنیت دامنه وسیعی از سازمان‌ها را به‌خطر می‌اندازد. از قرار معلوم این کلید پیش‌فرض برای پشتیبانی نرم‌افزاری در دل محصولات سیسکو گنجانده شده بود. 

تیم مشاوره سیسکو در بیانیه‌ای اعلام کرد: «وجود یک آسیب‌پذیری در قابلیت پشتیبانی راه دور سه محصول نرم‌افزاری Cisco WSAv، Cisco ESAv و Cisco SMAv به مهاجمان امکان می‌دهد از راه دور به سیستم‌های آلوده با سطح دسترسی کاربران root نفوذ کنند.» 

در قسمت دیگری از این بیانیه آمده است: «این آسیب‌پذیری ناشی از کلید پیش‌فرض و معتبر SSH می‌شود که در سه برنامه WSAv، ESAv و SMAv مشترک است. مهاجمان می‌توانند از طریق این آسیب‌پذیری به کلید محرمانه SSH دسترسی پیدا کرده و از آن برای اتصال به WSAv، ESAv یا SMAv استفاده کنند. این حفره دسترسی به سیستم‌ها را با سطح دسترسی کاربر root ممکن می‌سازد.» 

به گفته محققان، حفره امنیتی سیسکو آسیب‌پذیری منحصربه‌فردی نیست و وجود حفره‌های مشابه در برنامه‌های دیگر از ضعف بزرگی در صنعت امنیت نرم‌افزاری حکایت می‌کند. 

تاد بردزلی، مدیر مهندسی امنیت شرک Rapid۷، می‌گوید: اغلب ناشران میان‌افزار به‌خوبی آگاه‌اند که سیستم مدیریت راه دور برپایه پروتکل Telnet امنیت چندانی ندارد و به همین دلیل استفاده از کنسول‌های مدیریتی مبتنی بر پروتکل SSH رو به افزایش است. متأسفانه گهگاه دیده شده که ناشران میان‌افزار به‌طور اشتباهی یک کلید پیش‌فرض SSH را در تمام محصولات خود به‌کار می‌برند. SSH بی‌تردید بهتر از Telnet است، اما کافی است مهاجمان تنها به یکی از سیستم‌های که SSH روی آن نصب شده نفوذ کنند تا به تمام سیستم‌های مشابه نیز دسترسی پیدا کنند. 

وی می‌افزاید: در برخورد با سیستم‌های آسیب‌پذیری که پروتکل SSH روی آنها راه‌اندازی شده به ناشران میان‌افزارها توصیه می‌کنیم از طریق عملیات First Boot کلید SSH منحصربه‌فردی را برای هر دستگاه الکترونیکی تعریف کنند. به این ترتیب پروتکل هر کاربر منحصر به همان کاربر خواهد بود. توجه داشته باشید پورت ورود به اینترنت روی سیستم‌های دارای پروتکل SSH اغلب بسته است، بنابراین مهاجمان باید به شبکه محلی دسترسی داشته باشند، خواه شبکه فیزیکی یا VPN که دسترسی به محصولات سیسکو را امکان‌پذیر می‌کند.

بردرلی می‌گوید: برای مقابله با آسیب‌پذیری‌های این‌چنینی چند شرکت امنیتی ماژول‌های Metasploit خود را عرضه کرده‌اند، چراکه تنها با داشتن کلید نرم‌افزاری می‌توان به‌راحتی ماژول Metasploit را نوشت. 

به‌گفته بردزلی، شرکت Rapid۷ درحال تهیه پایگاه داده‌ای از کلیدهای SSH آلوده است و انتظار می‌رود پروتکل‌های آلوده سیسکو نیز به زودی به این پایگاه داده اضافه شود. 

مهاجمان از طریق این آسیب‌پذیری بدون آنکه شناسایی شوند به سیستم‌های هدف دسترسی پیدا می‌کنند. به گفته سیسکو، کشف حفره SSH کار ساده‌ای است، به‌خصوص اگر مهاجمان در شبکه هدف نیرویی داشته باشند که در کشف پروتکل‌ها به آنها کمک کند. 

تیم مشاوره سیسکو می‌گوید: سوء استفاده از این حفره روی SMAv در تمام مواردی که این محصول نرم‌افزاری برای مدیریت برنامه‌های امنیت محتوی به‌کار گرفته می‌شود امکان‌پذیر است. دسترسی به پروتکل SSH روی SMAv به مهاجمان امکان می‌دهد انتقال داده‌ها به SMAv را رمزگشایی و کارکرد آن را تقلید کنند تا داده‌های دست‌کاری شده را به یک برنامه مدیریت محتوی ارسال با تنظیمات دلخواه کاربران ارسال کنند. مهاجمان همچنین می‌توانند از این آسیب‌پذیری روی لینک‌های ارتباطی با هر برنامه امنیت محتوایی که به‌وسیله SMAv مدیریت می‌شد به نفع خود استفاده کنند.

 

به‌گفته سیسکو راهی برای جلوگیری از این آسیب‌پذیری وجود ندارد. با وجود این سیسکو وصله‌هایی را برای نسخه‌های نرم‌افزاری گوناگون آلوده به این حفره منتشر کرده است. این شرکت همچنین اعلام کرد که این آسیب‌پذیری هنگام انجام آزمون‌های امنیتی درون‌سازمانی شناسایی شده است. برنامه‌هایی که آسیب‌پذیری کلید پیش‌فرض SSH گریبان‌گیر آنها شده کارکردهای امنیتی گوناگونی از جمله امنیت محتوی، ایمیل و وب را ارائه می‌کنند.

افتانا