آخرین و جدیدترین بروزرسانی مربوط به یک آسیبپذیری با شناسه CVE-2018-0291 و شدت بالا در پردازنده پکت ورودی SNMP(Simple Network Management Protocol) مربوط به نرمافزار NX-OS سیسکو در تاریخ 27 مارس 2020 منتشر شد. در این آسیبپذیری یک مهاجم تایید هویت شده میتواند از راه دور و به صورت غیرمنتظره موجب ریاستارت شدن برنامه SNMP بر روی یک دستگاه آسیبدیده شود.
پروتکل SNMP، یک پروتکل لایه برنامه است که یک چارچوب استاندارد و یک زبان مشترک برای نظارت و مدیریت دستگاههای شبکه فراهم میکند. این پروتکل یک قالب پیام برای ارتباط بین مدیران SNMP و ایجنتها (agents) تعریف میکند.
این آسیبپذیری به دلیل اعتبارسنجی نادرست واحدهای دادهی پروتکل SNMP در پکتهای SNMP اتفاق میافتد. مهاجم میتواند با ارسال یک بسته جعلی SNMP به یک دستگاه آسیبدیده، از این آسیبپذیری بهرهبرداری نماید. یک اکسپلویت موفقیتآمیز به مهاجم اجازه میدهد تا برنامه SNMP را چندین مرتبه ریاستارت کرده و منجر به راهاندازی مجدد در سطح سیستم و اجرای حمله DoS شود.
در حال حاضر هیچ راهحلی برای رفع این آسیبپذیری ارائه نشده است اما سیسکو بروزرسانیهای نرمافزاری را منتشر کرده است.
محصولات نام برده در زیر، در صورتیکه دارای نسخه آسیبپذیر نرمافزار NX-OS باشند، تحت تاثیر این آسیبپذیری قرار میگیرند:
• Nexus 2000 Series Switches
• Nexus 3000 Series Switches
• Nexus 3500 Platform Switches
• Nexus 3600 Platform Switches
• Nexus 5500 Platform Switches
• Nexus 5600 Platform Switches
• Nexus 6000 Series Switches
• Nexus 7000 Series Switches
• Nexus 7700 Series Switches
• Nexus 9000 Series Switches in standalone NX-OS mode
• Nexus 9500 R-Series Line Cards and Fabric Modules
• UCS 6100 Series Fabric Interconnects
• UCS 6200 Series Fabric Interconnects
• UCS 6300 Series Fabric Interconnects
سیسکو تایید کرده است که این آسیبپذیری بر روی محصولات زیر تاثیر نمیگذارد:
• Firepower 2100 Series
• Firepower 4100 Series Next-Generation Firewall
• Firepower 9300 Security Appliance
• MDS 9000 Series Multilayer Switches
• Nexus 1000V Series Switches
• Nexus 1100 Series Cloud Services Platforms
• Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
با توجه به اینکه سوئیچهای سری Nexus 4000 سیسکو و Nexus 5010 یا Nexus 5020 به پایان عمر خود رسیدهاند بنابراین شرکت سیسکو در مورد اینکه آیا این سوئیچها تحت تاثیر آسیبپذیری مذکور قرار میگیرند یا خیر، هیچ بررسی و تحقیقی به عمل نیاورده است.
این آسیبپذیری تمام نسخههای SNMP (نسخههای1 ، 2c و 3) را تحت تاثیر قرار میدهد و مهاجم میتواند با راسال یک پکت خاص SNMP به دستگاه آسیبپذیر از طریق پروتکل IPv4 یا IPv6، آسیبپذیری ذکر شده را مورد اکسپلویت قرار دهد. لازم به ذکر است که تنها از طریق ترافیک هدایت شده به سیستم آسیبدیده میتوان این آسیبپذیری را اکسپلویت کرد.
برای اکسپلویت این آسیبپذیری از طریق نسخه 2c یا قبل تر SNMP، مهاجم باید از رشته جامع فقط خواندنی SNMP برای سیستم آسیبدیده اطلاع داشته باشد. این رشته رمز عبوری است که برای محدود کردن دسترسیهای read-only و read-write به دادههای SNMP روی دستگاه اعمال میشود. این رشتهها مانند تمام رمزهای عبور، باید با دقت انتخاب شوند تا از بی اهمیت نبودن آنها اطمینان حاصل شود. همچنین آنها باید در فواصل منظم و مطابق با سیاستهای امنیتی شبکه، تغییر کنند. به عنوان مثال زمانیکه مدیر شبکه نقشها را تغییر میدهد یا اینکه سازمان را ترک میکند.
برای اکسپلویت در نسخه 3 SNMP، مهاجم باید دارای اعتبار کاربر در سیستم آسیبدیده باشد.
راهحل
در حال حاضر راه حلی برای رفع این آسیبپذیری ارائه نشده است اما به عنوان یک راهحل پیشگیرانه، مدیران میتوانند یک لیست کنترل دسترسی (ACL) را بر روی یک SNMP پیکربندی کنند تا درخواستهای دریافتی SNMP را فیلتر کرده تا اطمینان حاصل شود که نمونهبرداریSNMP تنها توسط کلاینتهای قابل اعتماد انجام میشود.
برای مشاهده بروزرسانیهای نرمافزاری منتشر شده توسط شرکت سیسکو میتوانید به لینک زیر مراجعه نمایید.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxossnmp
- 70