آسیب‌پذیری‌های اجرای کد در محصولات سیسکو

۱۴۰۰/۱۱/۱۸ - ۱۱:۴۵

تعدادی آسیب‌پذیری در محصولات سیسکو کشف شده است که می‌تواند موجب اجرای کد دلخواه در سیستم آسیب‌پذیر شود.

بهره‌برداری موفق از شدیدترینِ این آسیب‌پذیری‌ها به مهاجمِ احراز هویت‌ نشده از راه دور اجازه می‌دهد بر روی سیستم‌های آسیب‌پذیر کد اجرا نماید. بسته به حق دسترسی‌های کاربر مورد هدف، مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده و حذف کرده و یا تغییر دهد و یا اینکه یک حساب کاربری جدید با حق دسترسی full ایجاد نماید. کاربرانی که دارای سطح دسترسی‌های پایین در سیستم هستند به نسبت کاربرانی که سطح دسترسی بالایی دارند کمتر تحت تأثیر قرار می‌گیرند.

سیستم‌های تحت تأثیر

• RV160 VPN Routers
• RV160W Wireless-AC VPN Routers
• RV260 VPN Routers
• RV260P VPN Routers with PoE
• RV260W Wireless-AC VPN Routers
• RV340 Dual WAN Gigabit VPN Routers
• RV340W Dual WAN Gigabit Wireless-AC VPN Routers
• RV345 Dual WAN Gigabit VPN Routers
• RV345P Dual WAN Gigabit POE VPN Routers

میزان خطر
دولت: برای نهادهای دولتی بزرگ، متوسط و کوچک میزان خطر متوسط است.
کسب‌ و کارهای تجاری: برای نهادهای تجاری بزرگ، متوسط و کوچک میزان خطر متوسط است.
کاربران خانگی: برای کاربران خانگی میزان خطر پایین است.

جزییات فنی
این آسیب‌پذیری‌ها به شرح ذیل می‌باشند:
CVE-2022-20699, CWE-285: آسیب‌پذیری در ماژول SSL VPN روترهای Small Business سیسکو، سری‌های RV340 ،RV340W ،RV345 و RV345P Dual WAN Gigabit VPN، که به مهاجمِ احرازهویت‌نشده‌ از راه دور اجازه می‌دهد کد دلخواه خود را بر روی دستگاه‌های آسیب‌پذیر اجرا نماید.
CVE-2022-20700, CVE-2022-20701, CVE-2022-20702 و CWE-269: چندین آسیب‌پذیری در رابط مدیریت تحت‌وب روترهای Small Business سیسکو سری‌های RV، که به مهاجم از راه دور اجازه می‌دهد سطح دسترسی خود را به root ارتقاء دهد.
CVE-2022-20703 و CWE-434: آسیب‌پذیری در قابلیت software image verification روترهای Small Business سیسکو سری‌های RV، که به مهاجم محلیِ (لوکال) احرازهویت نشده اجازه می‌دهد یک ایمیج نرم‌افزاری مخرب را بر روی دستگاه آسیب‌پذیر نصب و راه‌اندازی کند یا به اجرای unsigned binaries بپردازد.
CVE-2022-20704 و CWE-552: آسیب‌پذیری در ماژول ارتقاء نرم‌افزار روترهای Small Business سیسکو سری‌های RV، که به مهاجم احراز هویت‌نشده‌ی از راه دور اجازه می‌دهد تا اطلاعات به اشتراک‌گذاشته‌شده مابین دستگاه آسیب‌پذیر و سرورهای خاص سیسکو را مشاهده نماید یا آن‌ها را تغییر دهد (cloudsso.cisco.com and api.cisco.com).
CVE-2022-20705, CWE-285: آسیب‌پذیری در مدیریت نشستِ رابط وبِ روترهای Small Business سیسکو سری‌های RV، که به مهاجم احراز هویت‌نشده از راه دور اجازه می‌دهد از محافظت‌‌های احراز هویت عبور کرده و به رابط وب دسترسی پیدا کند. مهاجم می‌تواند برخی از امتیازات ادمین را به دست آورد و به انجام اقدامات غیرمجاز بپردازد.
CVE-2022-20706, CWE-77: آسیب‌پذیری در ماژول Open Plug and Play ‪(PnP)‬ روترهای Small Business سیسکو سری‌های RV، که به مهاجم احراز هویت‌نشده‌ از راه دور اجازه می‌دهد دستورات دلخواه خود را در سیستم‌عامل اصلی تزریق و اجرا نماید.
CVE-2022-20707, CVE-2022-20708, CVE-2022-20749, CWE-77: چندین آسیب‌پذیری در رابط مدیریت تحت‌وب روترهای Small Business سیسکو سری‌های RV340 ،RV340W ،RV345 و RV345P Dual WAN Gigabit VPN، که به مهاجم احراز هویت‌نشده‌ از راه دور اجازه می‌دهد دستورات دلخواه خود را در سیستم‌عامل اصلی تزریق و اجرا نماید.
CVE-2022-20709, CWE-434: آسیب‌پذیری در رابط مدیریت تحت‌وب روترهای Small Business سیسکو سری‌های RV340 ،RV340W و RV345P Dual WAN Gigabit VPN که به مهاجم احراز هویت‌نشده‌ از راه دور اجازه می‌دهد فایل‌های دلخواه خود را بر روی دستگاه‌های آسیب‌پذیر آپلود نماید.
CVE-2022-20710, CWE-785: آسیب‌پذیری در ارتباطات میان‌فرآیندی (internal interprocess communication) روترهای Small Business سیسکو سری‌های RV، که به مهاجم احراز هویت‌نشده‌ از راه دور اجازه می‌دهد تا شرایط منع سرویس (DoS) را در عملکرد ورود به رابط مدیریت تحت‌وب دستگاه‌های آسیب‌پذیر ایجاد نماید.
CVE-2022-20711, CWE-785: آسیب‌پذیری در رابط وب روترهای سیسکو سری RV340 ،RV340W ،RV345 و RV345P Dual WAN Gigabit VPN، که به مهاجم احراز هویت‌نشده‌ از راه دور اجازه می‌دهد تا فایل‌های خاصی را بر روی دستگاه آسیب‌پذیر بازنویسی کند.
CVE-2022-20712, CWE-77: آسیب‌پذیری در ماژول آپلود روترهای Small Business سیسکو سری‌های RV، که به مهاجمِ احرازهویت‌نشده‌ از راه دور اجازه می‌دهد کد دلخواه خود را بر روی دستگاه‌های آسیب‌پذیر اجرا نماید.

توصیه‌های امنیتی
• بلافاصله پس از تست مناسب، به‌روزرسانی ارائه‌شده توسط سیسکو را نصب کنید.
• همه‌ی نرم‌افزارها را به عنوان یک کاربر بدون دسترسی (کاربری بدون حق دسترسی‌های مدیریتی) اجرا کنید تا اثرات یک حمله موفق را کاهش دهید.
• به کاربران یادآوری کنید که از وب‌سایت‌ها بازدید نکنند یا لینک‌های ارسال‌شده توسط منابع ناشناس یا نامعتبر را باز نکنند.
‌• به کاربران در خصوص تهدیدات ناشی از لینک‌های hypertext موجود در ایمیل‌ها یا پیوست‌ها به‌ویژه از منابع غیرقابل اعتماد، اطلاع داده و آن‌ها را آموزش دهید.
• اصل حداقل دسترسی را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منبع خبر:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-cisco-products-could-allow-for-arbitrary-code-execution_2022-018