امنیت

فناوری اطلاعات

March 17, 2019
14:24 یکشنبه، 26ام اسفندماه 1397
کد خبر: 98320

هشدار مرکز ماهر درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو

مرکز ماهر وزارت ارتباطات درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو هشدار داد.
 
مرکز ماهر با انتشار اطلاعیه‌ای اعلام کرد: یک آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک ‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.
 
آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک
 
یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوءاستفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.
 
این مرکز با معرفی شناسه آسیب‌پذیری ( CVE-2019-1663) و درجه اهمیت این آسیب‌پذیری (بحرانی CVSS3 Base Score 9.8)، مشخصات تجهیزات آسیب‌پذیر را اینگونه اعلام کرد: 
 
RV110W Wireless-N VPN Firewall
 
RV130W Wireless-N Multifunction VPN Router
 
RV215W Wireless-N VPN Router
 
رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.
 
براساس اعلام مرکز ماهر، در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:
 
RV110W Wireless-N VPN Firewall: 1.2.2.1
 
RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
 
RV215W Wireless-N VPN Router: 1.3.1.1
 
آسیب‌پذیری در محصولات ویدئوکنفرانس
 
آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
 
هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.
 
شناسه: CVE-2019-1674
 
درجه اهمیت: بالا CVSS3 Base Score 7.8
 
راه حل موجود برای این آسیب‌پذیری نیز ارتقای نرم‌افزارهای معرفی شده به نسخه به‌روزشده مطابق جدول زیر است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.