سیسکو در روز ۳۰ خرداد، اطلاعات چندین آسیب‌پذیری حیاتی را در محصولات خود منتشر نمود. این آسیب‌پذیری ها عموما در محصولات Nexsus و Firepower و سیستم‌های عامل مربوط به آن‌ها ( NX-OS و FXOS ) شناسایی شده اند. این آسیب‌پذیری‌ها عبارتند از:

• اجرای کد از راه دور در قسمت NX-API سیستم عامل NX-OS
• اجرای کد از راه دور در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS
• اجرای کد از راه دور به صورت تزریق دستور در سیستم‌عامل NX-OS
• منع خدمت در پروتکل SNMP سیستم‌عامل NX-OS
• افزایش سطح دسترسی از طریق ACL در سیستم‌عامل NX-OS
• منع خدمت و یا اجرای کد از راه دور در سرویس دهنده IGMP سیستم‌عامل NX-OS
• منع خدمت در BGP سیستم‌عامل NX-OS
• آسیب‌پذیری در حساب مدیر سیستم در سیستم‌عامل NX-OS و FXOS
• افزایش دسترسی در قسمت NX-API سیستم عامل NX-OS
• منع خدمت در سرویس‌دهنده CDP سیستم عامل‌های FXOS و NX-OS و UCS
• منع خدمت در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS
• اجرای کد از راه دور به صورت مستقیم در سیستم‌عامل NX-OS
• مسیرپیمایی در محصولات Firewall نسل بعد

در بسیاری از موارد بالا، آسیب‌پذیری ها از موارد عنوان شده گسترده تر بوده و از درجه اهمیت بحرانی (۱۰ از ۱۰) برخوردار هستند. در صورت استفاده از این سرویس‌دهنده ها و محصولات سیسکو مخصوصا محصولات درج شده در لیست زیر، سیستم‌عامل مسیریاب و یا سو‌ئیچ خود را بروز نمایید:

• Cisco Nexus 3000 and 9000 Series
• Cisco Nexus 4000 Series
• Cisco FXOS Software and UCS Fabric Interconnect
• Cisco Firepower 4100 Series Next-Generation Firewall and Firepower 9300 Security Appliance

منابع:

https://tools.cisco.com/security/center/publicationListing.x
https://www.us-cert.gov/ncas/current-activity/2018/06/20/Cisco-Releases-Security-Updates-Multiple-P…

در این گزارش مشکلات امنیتی منتشر شده توسط شرکت سیسکو در ماه می 2018 و آسیب پذیریها به همراه راه حل آنها ارائه شده است. شرکت سیسکو در آخرین آپدیت ها و معرفی آسیب پذیریها به 29 آسیب پذیری جدید اشاره کرده است. از این تعداد 5 آسیب پذیری دارای درجه حساسیت بحرانی (Critical) و 9 آسیب پذیری دارای درجه حساسیت خطرناک (High) و 15 آسیب پذیری دارای درجه حسایت متوسط (Medium) میباشد. در این گزارش آسیب پذیریهای مهم ماه می 2018 شرح داده شده اند.

دانلود گزارش

متاسفانه تعداد بدافزارهایی که اقدام به استخراج ارز دیجیتال از دستگاه کاربران می‌کنند در حال افزایش است. در بدافزار جدیدی که با نام ادعیه ماه رمضان منتشر شده است کاربر هیچ رفتار مشکوکی از برنامه نمی‌بیند و امکان حذف برنامه توسط کاربر بسیار اندک است. اقدامات لازم جهت مسدود کردن دامنه‌های مربوطه در حال انجام شده است. کاربران بایستی از سایت های معتبر نرم افزارهای خود را انتخاب نمایند.

دانلود گزارش

خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور می‌دهد. گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته‌است و این عدد نیز افزایش خواهد داشت. لازم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال می‌باشد.

دانلود خبر

پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های #‫ایمیل_سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force بر روی رمز عبور از طریق پروتکل‌های imap و pop3 و نیز حمله DOS‌ از طریق ارسال دستورات پی‌در‌پی imap و pop3 صورت می‌گیرد. حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:

92.63.193.0/24
5.188.9.0/24

اکیداْ توصیه می‌گردد مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد. لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع این مرکز برسانند.

درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیرنشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است. متاسفانه مشاهده می‌گردد که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است. قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده میکنند. بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به 24 مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان میدهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود نهصد میلیون ریال برای هر رخداد بوده است. لذا به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها مجددا توصیه اکید می‌شود که استفاده از سرویس RDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند. پیشنهاد میگردد اقدامات زیر جهت پیشگیری از وقوع این حملات بصورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد:

1- با توجه به ماهیت پروتکل RDP اکیداً توصیه می گردد این پروتکل بصورت امن و کنترل شده استفاده گردد، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات. همچنین توصیه می گردد از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها خودداری گردد.
2- تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و نگهداری اطلاعات پشتیبان بصورت غیر بر خط.
3- اجبار به انتخاب رمز عبورسخت و تغییر دوره ای آن توسط مدیران سیستمها.
4- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.
5- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.
6- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.
7-توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس حاصل نمایند.

#Telnet یکی از #‫پروتکل‌ های قدیمی و منسوخ شبکه است که برای ارائه یک ارتباط دوطرفه متنی با استفاده از ترمینال‌های مجازی طراحی شده است (به جای استفاده از رابط کنسول). به‌طور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار می‌گردد. ابزارهای متنوعی در سیستم عامل‌های مختلف برای برقراری این نوع ارتباط طراحی و ارائه شده‌اند.

امنیت:
به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی می‌باشد. عدم استفاده از روش‌های رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از این‌رو نبایستی از آن برای دسترسی به سیستم‌های راه دور استفاده نمود. مهمترین نقاط ضعف این پروتکل عبارتند از:

• شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از این‌رو استفاده از این پروتکل به‌جز در محیط‌های آزمایشگاهی ایزوله توصیه نمی‌گردد.
• آسیب‌پذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
• آسیب‌پذیری نسبت به حمله منع دسترسی (DOS): به راحتی می‌توان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویس‌دهنده شد.
• امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر می‌تواند منجر به افشای اطلاعاتی درخصوص سخت‌افزار و نرم‌افزار گردد. این امر می‌تواند روند سوء‌استفاه از آسیب‌پذیری‌های موجود را تسریع نماید.

ماشین‌هایی که سرویس Telnet بر روی آن‌ها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی می‌تواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد.

توصیه:
بررسی‌های انجام گرفته توسط مرکز ماهر نشان می‌دهد که سرویس Telnet بر روی تعداد زیادی از آدرس‌های IP قابل دسترس از طریق اینترنت فعال است. اکیداً توصیه می‌گردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرس‌های Valid IP تحت کنترل آن‌ها، سرویس Telnet فعال نمی‌باشد. درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که به‌طور امن پیکربندی شده است.

لازم به ذکر است شماری از موارد شناسایی شده با سرویس telnet فعال در فضای اینترنت کشور رصد گردیده و اطلاع رسانی شده است.

مرکز پاسخگویی امنیتی #‫مایکروسافت (MSRC) بصورت دوره‌ای گزارش‌های مربوط به #‫آسیب_پذیری‌های امنیتی محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات تجمیعی را با هدف کمک به مدیریت تهدیدات امنیتی و حفاظت از سیستم‌های استفاده کنندگان فراهم می‌نماید. بسته بروزرسانی امنیتی ماه می مایکروسافت شامل بروزرسانی‌های امنیتی برای نرم افزارهای زیر است:

دانلود گزارش

محصول (Cisco Secure Access Control System)Cisco ACS به عنوان سرویس‌دهنده‌ی متمرکز احرازهویت و کنترل دسترسی، نقشی مهم، حساس و کاربردی‌ در مدیریت شبکه و زیرساخت بر عهده دارد.
یک آسیب پذیری با درجه‌ی خطر بحرانی (CVSS 9.8) در محصول فوق شرکت #‫سیسکو ACS گزارش شده‌است، این آسیب‌پذیری به مهاجمان امکان اجرای کد از را‌ه دور را می‌دهد.
این آسیب پذیری ناشی از تایید اعتبار نادرست پروتکل Action Message Format (AMF) است. این پروتکل مربوط به قالب پیام‌های عملیاتی می‌باشد. مهاجم با سوء استفاده از این پروتکل می تواند یک پیام AMF که حاوی کدهای مخرب را ایجاد و برای سیستم هدف ارسال نماید و باعث اجرای کد دلخواه در سیستم قربانی می گردد.
آسیب‌پذیری فوق بر روی تمامی نسخه‌های نرم‌افزار Cisco Secure ACS با نسخه 5.8 و قبل از آن و وصله 7 اثرگذار می‌باشد.

راه حل‌:

برای رفع این آسیب پذیری بایستی نرم افزار ACS به آخرین نسخه ارتقاء یابد. می توانید نسخه ACS به روز شده را از آدرس سایت شرکت سازنده دریافت نمایید.

https://software.cisco.com/download/home/286286338/type/282766937/release/5.8.0.32

برخی از جزئیات این آسیب‌پذیری‌ در لینک شرکت سیسکو در دسترس می‌باشد:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-acs1

در روزهای گذشته ابزاری از سوی یک محقق آرژانتینی جهت حمله و اخذ دسترسی به دوربین‌های تحت شبکه منتشر شده است. آسیب پذیری مرتبط با این ابزار دارای شناسه‌ی #CVE-2018-9995 می‌باشد. وجود این آسیب پذیری برای حمله کننده این امکان را فراهم می کند تا فرآیند احراز هویت موجود در سرویس وب دستگاه های DVR را دور بزند و بدون انجام احراز هویت به تمامی سرویس های ارائه شده در واسط کاربری وب دسترسی پیدا کند.
با ارسال یک درخواست HTTP و قرار دادن مقدار "Cookie: uid=admin," در سرآیند درخواست ارسالی، دستگاه در پاسخ این درخواست، اطلاعات محرمانه حساب کاربری admin به همراه رمز عبور را ارسال می کند. این اطلاعات بصورت رمزنشده ارسال می شوند و حمله کننده به راحتی گذرواژه حساب مدیر دستگاه را بدست می آورد.
 

در گزارش اولیه منتشر شده توسط این محقق امنیتی، تنها دستگاه های #DVR تولیدی شرکت TBK آسیب‌پذیر معرفی شدند. اما در نسخه‌های بروز شده گزارش، تمامی دستگاه های DVR که از روی این نسخه کپی شده اند نیز آسیب پذیر معرفی شده اند. دستگاه های آسیب‌پذیر از خانواده TBK DVR4104و DVR4216 می باشند:

• Novo
• CeNova
• QSee
• Pulnix
• XVR 5 in 1 Securus
• Night OWL
• DVR Login
• HVR Login
• MDVR Login

برندهای آسیب‌پذیر خوشبختانه در کشور ما رایج نیستند با این وجود لازم است با توجه به آسیب‌پذیری‌های جدی اکثر انواع دوربین‌های تحت شبکه،از در دسترس قراردادن این تجهیزات در اینترنت خودداری نمود. در غیر اینصورت لازم است دسترسی به واسط وب این سامانه ها صرفا به آدرس‌های IP مشخص محدود گردد.