کشف آسیب پذیری در روترهای در معرض اینترنت توسط سیسکو

به گزارش کارگروه امنیت خبرگزاری سایبربان، تیم امنیتی تالوس (Talos) این شرکت علاوه بر انتشار توصیه‌ای در مورد این آسیب پذیری که با عنوان CVE-2023-20198 ردیابی می‌شود، گزارشی منتشر کرد که در آن نحوه کشف این آسیب‌پذیری حیاتی را تشریح کرده است.

این آسیب‌پذیری دارای بالاترین شدت امتیاز (CVSS=10) است و سیسکو گفته است که این آسیب پذیری به مهاجمان امتیازات کامل مدیر را می‌دهد و به آنها اجازه می‌دهد تا کنترل کامل روتر آسیب‌دیده را در دست بگیرند و امکان فعالیت‌های غیرمجاز بعدی را فراهم کنند.

آسیب پذیری CVE-2023-20198 در یکی از ویژگی های نرم افزار سیسکو آی او اس اکس ای (Cisco IOS XE) یافت شد که بر دستگاه های فیزیکی و مجازی که نرم افزار را اجرا می کنند، تأثیر می گذاشت.

این ویژگی که رابط کاربری وب (Web UI) نام دارد، برای ساده سازی استقرار، مدیریت پذیری و تجربه کاربری است.

برای رسیدگی به این مشکل، سیسکو از مشتریان خواست که ویژگی اچ تی تی پی سرور (HTTP Server) را در تمام سیستم‌های متصل به اینترنت غیرفعال کنند و خاطرنشان کرد که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بارها توصیه‌های مشابهی را برای کاهش خطرات مرتبط با رابط‌های مدیریتی در معرض اینترنت صادر کرده است.

این آژانس هشدار خود را در مورد این آسیب پذیری روز دوشنبه منتشر کرد.

هیچ راه حلی برای حل مشکل وجود ندارد و هنوز بروزرسانی در دسترس نیست.

از طریق این آسیب‌پذیری، هکرها می‌توانند یک حساب کاربری در دستگاه آسیب‌دیده ایجاد کرده و کنترل کامل آن را به دست آورند.

این آسیب‌پذیری در طول حل‌وفصل چندین مورد پشتیبانی مرکز کمک فنی سیسکو از مشتریانی که هک شده بودند، پیدا شد.

اولین وضعیت در 28 سپتامبر کشف شد.

پس از بررسی، محققان سیسکو گفتند که فعالیت های مربوط به این باگ به 18 سپتامبر بازمی گردد.

تیم‌ پاسخ به حوادث تالوس شرکت سیسکو فعالیت‌های مرتبط با این موضوع را روز پنجشنبه گذشته مشاهده کرد و مشاوره را روز دوشنبه منتشر نمود.

این شرکت در این رابطه گفت:

ما ارزیابی می کنیم که این دسته از فعالیت ها احتمالاً توسط همان عاملی انجام شده باشد که در ماه اکتبر نیز فعالیتش رصد شده بود. هر دو کلاستر نزدیک به هم ظاهر شدند و به نظر می رسد که فعالیت ماه اکتبر باعث ایجاد فعالیت های سپتامبر شده باشد.

اولین کلاستر احتمالاً اقدام اولیه عامل برای آزمایش کد آنها بوده است، در حالی که به نظر می‌رسد فعالیت اکتبر نشان می‌دهد که عامل مخرب، در حال گسترش عملیات خود برای ایجاد دسترسی مداوم از طریق استقرار ایمپلنت بوده است.

پس از بهره برداری از آسیب پذیری جدید، هکرها به یک باگ دو ساله به نام CVE-2021-1435 روی آوردند که به آنها اجازه می داد یک ایمپلنت را روی دستگاه آسیب دیده نصب کنند.

آنها خاطرنشان کردند که حتی دستگاه‌هایی که در برابر آسیب‌پذیری قدیمی وصله شده‌اند، ایمپلنت‌ها باز هم از طریق مکانیسمی هنوز نامشخص، نصب شده‌اند.

چندین محقق، از جمله جان گالاگر، معاون آزمایشگاه های ویاکو (Viakoo Labs)، این آسیب‌پذیری را به آسیب‌پذیری دیگری مرتبط کرده اند که بر همان نرم‌افزاری که در ۲ اکتبر اعلام شد، تأثیر می‌گذارد.

گالاگر توضیح داد که این آسیب‌پذیری یادآوری است که مدیران در مواردی مانند این که هیچ وصله‌ای در دسترس نیست، به اطلاعات دقیق در مورد سیستم‌های خود نیاز دارند.

مایورش دانی، مدیر تحقیقات تهدیدات در شرکت کوالیز (Qualys)، خاطرنشان کرد که سیسکو لیستی از دستگاه‌های آسیب‌دیده ارائه نکرده است، به این معنی که هر سوییچ، روتر یا کنترل‌کننده شبکه بی‌سیمی که آی او اس اکس ای با رابط کاربری وب در معرض اینترنت قرار دارد، آسیب‌پذیر است.

دانی با تکرار توصیه‌های سیسکو مبنی بر اینکه کاربران باید مطمئن شوند دستگاه‌ها در معرض اینترنت قرار نگرفته‌اند یا مؤلفه رابط کاربری وب را در این دستگاه‌ها غیرفعال کنند، گفت:

بر اساس جستجوهای من با استفاده از وبسایت شودان (Shodan)، حدود 40 هزار دستگاه سیسکو وجود دارد که دارای رابط کاربری وب در اینترنت هستند.