سیسکو از یک آسیب‌پذیری بحرانی و دو آسیب‌پذیری با حساسیت بالا در نرم‌افزار مدیریت امنیت (Security Manager) خود خبر داده است. این سه آسیب‌پذیری در نسخه 4.22 این نرم‌افزار که هفته پیش منتشر شد، برطرف شده‌اند.

نرم‌افزار مدیریت امنیت سیسکو به ادمین‌ها کمک می‌کند تا سیاست‌های تجهیزات امنیتی سیسکو را به طور یکپارچه اعمال کنند و به رویدادهای امنیتی به سرعت رسیدگی کنند. از جمله محصولات قابل مدیریت با Security Manager می‌توان به تجهیزات ASA، سیستم‌های جلوگیری از نفوذ (IPS) و AnyConnect اشاره کرد.

مهم‌ترین آسیب‌پذیری برطرف شده در نسخه 4.22 از نوع پیمایش مسیر است و با شناسه CVE-2020-27130 رهگیری می‌شود که می‌تواند به یک مهاجم راه دور اجازه دهد تا بدون نیاز به احراز هویت، از تجهیز آسیب‌پذیر فایل دانلود کند. این آسیب‌پذیری دارای امتیاز CVSS 3.1 برابر 9.1 از 10 است و Security Manager نسخه‌های 4.21 به قبل تحت تأثیر آن قرار دارند.

طبق توصیه‌نامه امنیتی سیسکو «این آسیب‌پذیری به این علت اتفاق می‌افتد که رشته‌های کاراکتری پیمایش دایرکتوری موجود در درخواست ارسالی به تجهیز، به طور مناسب اعتبارسنجی نمی‌شوند. مهاجم می‌توانست یک درخواست با طراحی خاص به تجهیز تحت تأثیر بفرستد و بدین وسیله از آسیب‌پذیری بهره‌برداری کند».

وقتی صبر کاشف آسیب‌پذیری لبریز می‌شود

ظاهراً سیسکو توصیه‌نامه را پس از آن منتشر کرد که فلورین هاوسر (Florian Hauser) از شرکت امنیتی کد وایت (Code White) کد اثبات مفهوم بهره‌برداری از 12 آسیب‌پذیری Security Manager را منتشر کرد. این آسیب‌پذیری را نیز خود هاوسر به سیسکو گزارش کرده است.

او در توییتی اشاره کرده است که 12 آسیب‌پذیری مربوط به رابط وب این نرم‌افزار را حدود 120 روز قبل (13 جولای) به سیسکو گزارش کرده است. اما از آنجا که سیسکو در یادداشت‌های عرضه نسخه 4.22 به این آسیب‌پذیری‌ها اشاره نکرده و توصیه‌نامه‌ای نیز منتشر نکرده بود، هاوسر تصمیم گرفت کدهای اثبات مفهوم را منتشر کند.

هاوسر می‌نویسد: «چند آسیب‌پذیری پیش از احراز هویت در 13 جولای 2020 به سیسکو اطلاع داده شد و (طبق گفته سیسکو) در نسخه 4.22 که در 10 نوامبر منتشر شد، برطرف شدند. در یادداشت‌های عرضه، چیزی در مورد این آسیب‌پذیری‌ها گفته نشده بود. توصیه‌نامه امنیتی نیز منتشر نشد. همه پیلودها در قالب کاربر NT AUTHORITY\SYSTEM پردازش می‌شوند».

چند مورد از این آسیب‌پذیری‌ها در تابع deserialization جاوا Security Manager قرار دارند که به مهاجم راه دور اجازه می‌دهند بدون نیاز به احراز هویت دستور دلخواه خود را روی تجهیز اجرا کند. متأسفانه سیسکو این آسیب‌پذیری‌ها را برطرف نکرده است اما قصد دارد آنها را در نسخه 4.23 رفع کند. در ضمن سیسکو هیچ راه حل جایگزینی برای رفع یا کاهش اثر این آسیب‌پذیری‌ها تا قبل از انتشار وصله ارائه نداده است. این آسیب‌پذیری‌ها که نسخه 4.22 به قبل را تحت تأثیر قرار می‌دهند، دارای درجه حساسیت 8.1 هستند و با شناسه CVE-2020-27131 رهگیری می‌شوند.

آسیب‌پذیری دیگری نیز وجود دارد که در نسخه 4.22 رفع شده و با شناسه CVE-2020-27125 شناخته می‌شود. این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد با رجوع به کد منبع برنامه، نام‌های کاربری و گذرواژه‌های ایستایی را ببیند که به قدر کافی حفاظت شده نیستند.