آسیب پذیری بحرانی جدید سیسکو – راهنمایی وصله

در آخرین ساعت‌های روز ۱۷ فروردین، زیرساخت اینترنت در سراسر جهان مورد حمله گسترده سایبری قرار گرفت. در چندین کشور از جمله ایران، این حمله هکری باعث اختلال در مراکزداده ای شد. وزیر ارتباطات با توییت زیر این حمله را تایید کرد:

خبر1 آپا قم 8-4-2018

البته به سرعت این مشکل مرتفع شده و وزیر ارتباطات اعلام کرد که پس از گذشت چند ساعت 95 درصد مشکل حل شده است. کارشناسان مرکز ماهر اعلام کردند با تلاش انجام شده هیچ نشت اطلاعاتی صورت نگرفته است و کاربران ایرانی از این بابت آسوده خاطر باشند.

آسیب‌پذیری

در تاریخ ۲۹ مارس چندین شرکت امنیتی (نظیر تالوس سکیوریتی) یک آسیب‌پذیری بزرگ در روترهای سیسکو کشف کردند. این آسیب‌پذیری امنیتی در پروتکل Smart Install اتفاق افتاده است و به هکرها اجازه می‌دهد از طریق پورت باز ۴۷۸۶ به کنسول سوییچ‌های سیسکو دسترسی پیدا کنند و آن‌ها را خاموش یا به تنظیمات پیش‌فرض برگردانند.

در اثر این آسیب پذیری هکرها می توانند به تنظیمات TFTP سرور دسترسی پیدا کنند و با دستکاری و پیکربندی مجدد این فایل، یک ایمیج IOS جدید را در حساب‌های کاربری نصب سوییچ جایگزین فایل IOS قبلی کنند. این دستکاری‌ها باعث می شود به راحتی دستورات IOS را روی سوییچ‌های سیسکو اجرا کنند.

راهنمای وصله آسیب پذیری

برای رفع این آسیب پذیری به صورت دائمی، باید تجهیزات شبکه ی خود را به آخرین نسخه بروزرسانی کنید برای بروزرسانی ابتدا آخرین نسخه IOS را از سایت سیسکو دانلود کرده و در TFTP Server قرار دهید و TFTP را نیز فعال کنید. به کامپیوتر و TFTP Server و سوییچ IP بدهید و ارتباط بین سوییچ و سرور را بررسی کنید. سپس نسخه سیستم عامل دستگاه را با استفاده از دستور show version بررسی کنید:

با استفاده از دستور show flash نام IOS قبلی را یافته و یادداشت کنید. از آنجا که در صورت وجو دو نسخه از IOS در حافظه ی Flash سوییچ، همان نسخه اول boot می شود باید برای حذف IOS قدیمی از دستور زیر استفاده کنید:

با استفاده از دستور زیر IOS جدید را از طریق TFTP سرور نصب کنید. در خط دوم باید IP مربوط به TFTP Server را وارد کنید:

مجددا از دستور show flash استفاده کرده و بررسی کنید که IOS جدید با موفقیت نصب شده باشد.

برای رفع موقت آسیب پذیری، ابتدا روتر یا سوییچ آسیب دیده ی خود مجددا با استفاده از نسخه پشتیبان راه اندازی نمایید. سپس با اجرای دستور no vstack قابلیت smart install client را غیرفعال کنید. برای جلوگیری از آسیب پذیری مجدد این کار را برای سوییچ های آسیب ندیده هم انجام دهید. برای بررسی فعال بودن این ویژگی در تجهیزات شبکه خود می توانید از دستور show vstack config استفاده کنید.

همچنین ترافیک ورودی پورت 4786 TCP را نیز با استفاده از دستورات زیر مسدود نمایید: