IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Cisco

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

کشف نقص های متعدد در سری Cisco Small Business 220

 takian.ir cisco small business 220 flaw

یک محقق، آسیب پذیری های متعددی را در سوئیچ های هوشمند سری Cisco’s Small Business 220 کشف کرده است که شامل برخی از مشکلات دارای درجه بالای خطر نیز میباشد.

محقق امنیتی جسپر آدریانس، چندین آسیب پذیری سوئیچ هوشمند سری Cisco’s Small Business 220 را کشف کرده است. این آسیب پذیری ها بر دستگاه هایی که نسخه های سیستم عامل قبل از 1.2.0.6 را اجرا می کنند و اینترفیس مدیریت تحت وب در آنها فعال است، تأثیر می گذارند. این کارشناس خاطر نشان کرد که اینترفیس به طور پیش فرض، فعال است.

به نقل از سکیوریتی افیرز، این آسیب پذیری ها در مجموع به صورت CVE-2021-1541 ،CVE-2021-1542 ، CVE-2021-1543 و CVE-2021-1571 ردیابی شده اند و شدید ترین آنها CVE-2021-1542 میباشد که جز موارد دارای شدت بالا ارزیابی شده است.

مورد CVE-2021-1542 یک آسیب پذیری مدیریت session ضعیف است که می تواند به مهاجم از راه دور و غیرمجاز اجازه دهد session کاربر را هایجک کرده و به اینترفیس وب دستگاه شبکه با سطح اختیارات کاربر مدیر، دسترسی پیدا کند.

مشاوره امنیتی منتشر شده توسط سیسکو میگوید: "این آسیب پذیری مدیریت session برای اینترفیس مدیریت تحت وب سوئیچ های هوشمند سری 220 Cisco Small Business می تواند به مهاجم از راه دور غیرمجاز اجازه دهد تا از سد محافظتی احراز هویت عبور کرده و به اینترفیس به صورت غیرمجاز دسترسی پیدا کند. مهاجم می تواند اختیارات session حساب هایجک شده را، که می تواند شامل اختیارات در سطح مدیریتی در دستگاه باشد را بدست بیاورد".

این نقص به دلیل استفاده از مدیریت session ضعیف برای شناساگرهای مقادیر session است. به گفته سیسکو، مهاجم می تواند با استفاده از روش های شناسایی برای تشخیص نحوه ساخت یک شناسه معتبر session، از این مسئله بهره برداری کند.

مورد با شدت بالا CVE-2021-1541، یک آسیب پذیری اجرای فرمان از راه دور است که مهاجم از راه دور از مجوزهای سطح ادمین سواستفاده کرده و می تواند دستورات دلخواه با اختیارات روت را در سیستم عامل اصلی اجرا نماید.

این مشاوره در ادامه می افزاید: "آسیب پذیری در اینترفیس مدیریت تحت وب سوئیچ های هوشمند Cisco Small Business 220 Series می تواند به مهاجم از راه دور معتبر اجازه دهد دستورات دلخواه را به عنوان یک کاربر روت، در سیستم عامل اصلی اجرا کند. مهاجم باید گواهینامه های معتبر ادمین را در دستگاه مورد نظر داشته باشد".

"این آسیب پذیری به دلیل فقدان اعتبارسنجی پارامتر برای پیکربندی پارامترهای TFTP است. یک مهاجم می تواند با وارد کردن مولفه ورودی ساختگی برای پارامترهای خاص در پیکربندی TFTP، از این آسیب پذیری سواستفاده کند. یک سواستفاده موفقیت آمیز می تواند به مهاجم اجازه دهد تا دستورات دلخواه را به عنوان کاربر اصلی در سیستم عامل اصلی اجرا نماید".

نقاط ضعف باقیمانده در سوئیچ های هوشمند سری 220 Business Cisco Small Business، یک آسیب پذیری Cross-Site Scripting یا (XSS) (CVE-2021-1543) و یک آسیب پذیری تزریق HTML است، که هر دو مورد به عنوان مشکلاتی با حد شدت متوسط ارزیابی شده اند.

نقص XSS به دلیل اعتبارسنجی ناکافی مولفه ورودی توسط کاربر بوسیله اینترفیس مدیریت تحت وب دستگاه آسیب دیده است. یک مهاجم می تواند با فریب قربانیان برای کلیک کردن روی لینک های مخرب، از این نقص سواستفاده کرده و به یک صفحه خاص دسترسی پیدا کند. مهاجم می تواند از این نقص در اجرای کد اسکریپت دلخواه در محتوای اینترفیس تحت تاثیر و یا دسترسی به اطلاعات حساس و مبتنی بر مرورگر اعمال کرده و کاربر را به صفحه دلخواه خود هدایت نماید.

آسیب پذیری تزریق HTML به دلیل بررسی نادرست مقادیر پارامتر در صفحات آسیب دیده است.

سیسکو برای رفع آسیب پذیری های فوق بروزرسانی های نرم افزاری را منتشر کرده است و از سویی نیز متأسفانه هیچ راهکار قطعی برای حل این مشکلات وجود ندارد.

نقص های مهم سیسکو SD-WAN vManage و نرم افزار HyperFlex

takian.ir cisco sd wan vmanage and hyperflex software vulnerability

سیسکو، بزرگترین تامین کننده تجهیزات شبکه، برای رفع آسیب پذیری های متعدد و مهم تأثیرگذار بر HyperFlex HX و SD-WAN vManage Software كه می تواند به مهاجم اجازه دهد حملات اعمال فرمان، اجرای كد دلخواه و دسترسی به اطلاعات حساس را انجام دهد، بروزرسانی های نرم افزاری ارائه داده است.

در یک سری راهنمایی ها و گزارشات توصیه ای منتشر شده در تاریخ 5 ماه می سال جاری میلادی، این شرکت اعلام کرده است که هیچ راهکار قطعی برای رفع مشکلات وجود ندارد.

آسیب پذیری های اعمال فرمان HyperFlex HX، همانگونه که در CVE-2021-1497 و CVE-2021-1498 (CVSS Score 9.8) ردیابی شده است، بر تمام دستگاه های سیسکو که از نرم افزار HyperFlex HX نسخه های 4.0 ، 4.5 و نسخه های 4.0 استفاده می کنند، تأثیر می گذارد. این اشکال می تواند به دلیل عدم اعتبارسنجی کافی ورودی ارائه شده توسط کاربر در اینترفیس مدیریتی مبتنی بر وب سیسکوی HyperFlex HX Data Platform باشد که این آسیب پذیری میتواند مهاجم ناشناس از راه دور را قادر سازد تا یک حمله اعمال دستور را علیه دستگاه آسیب پذیر به اجرا درآورد. این شرکت در هشدار خود گفت: "این آسیب پذیری با ارسال یک درخواست ساختگی به اینترفیس مدیریتی مبتنی بر وب توسط مهاجم تحت تاثیر قرار گیرد. یک سوءاستفاده موفق می تواند به مهاجم اجازه دهد به صورت root یا کاربر tomcat8، دستورات خودسرانه را اجرا نماید".

سیسکو همچنین پنج اشکال موثر بر SD-WAN vManage Software (CVE-2021-1275، CVE-2021-1468، CVE-2021-1505، CVE-2021-1506 و CVE-2021-1508) را مشخص کرد که مهاجم ناشناس از راه دور میتواند کد دلخواه خود را اجرا کند یا به اطلاعات حساس دسترسی پیدا کند، یا اینکه برای یک مهاجم محلی شناخته شده این اجازه را فراهم آورد که به امتیازات بسیار بیشتر یا دسترسی غیرمجاز به برنامه، دست پیدا کند.

نیکیتا آبراموف و میخائیل کلیوچنیکوف از شرکت پازیتیو تکنولوجیز در حالی با گزارش HyperFlex HX شناخته شده اند، که چهار مورد از اشکالات SD-WAN vManage را در هنگام آزمایش امنیت داخلی شناسایی کرده اند، از طرفی CVE-2021-1275 در هنگام حل و فصل یک مورد پشتیبانی کاربری در مرکز کمک فنی سیسکو (TAC)  مشخص گردیده است.

اگرچه هیچ شواهدی مبنی بر سوءاستفاده مخرب از آسیب پذیری ها در فضای کاربری وجود ندارد، اما توصیه می شود کاربران برای کاهش احتمال خطر ناشی از نقص ها، دستگاه های خود را به جدیدترین نسخه بروزرسانی نمایند.

 

VMware رفع اشکال پرخطرvRealize Business for Cloud را در دستور کار قرار داده است.

سیسکو تنها نیست. VMware در روز چهارشنبه بروزرسانی هایی را برای رفع نقص جدی در vRealize Business for Cloud 7.6 منتشر کرد که به مهاجمین غیرمجاز و ناشناس این امکان را می دهد کد مخرب را از راه دور اجرا بر روی سرورهای آسیب پذیر کنند.

نقص اجرای کد از راه دور (CVE-2021-21984، CVSS Score: 9.8) از یک endpoint غیرمجاز VAMI نشات می گیرد و در نتیجه سناریویی ایجاد می شود که به متعاقب آن مهاجم میتواند با دسترسی به شبکه، کد غیر مجاز را روی دستگاه اجرا کند. کاربران تحت تأثیر این آسیب پذیری می توانند با نصب فایل بروزرسانی امنیتی ISO، این مشکل را برطرف نمایند.

Vmware نیز گزارش ایگور دیمیترنکو از کمپانی پازیتیو تکنولوجیز مبنی بر وجود این آسیب پذیری را تایید نموده و آنرا مثبت دانسته است.