خبر خوش برای دارندگان سوئیچ‌های سیسکو سری SMB : نگران امنیت شبکه خود نباشید!

همچنین دارندگان مدل‌های دیگر سوئیچ‌های سیسکو هم با یک تنظیم ساده، می‌توانند شبکه خود را در برابر حمله‌ی هکرها ایمن کنند. سیسکو به تازگی برای مقابله با این آسیب‌پذیری نسخه‌ی به‌روزرسان نرم‌افزار را منتشر کرده است.

حمله چگونه اتفاق می‌افتد؟

در دستگاه‌هایی از سیسکو که سیستم عامل آن IOS و IOS XE هستند و ویژگی Smart Install روی آنها فعال است، به هکرها اجازه حمله می‌دهد. هکرها با استفاده از این ویژگی می توانند کنترل کامل دستگاه را به اختیار بگیرند و همچنین کدهای دلخواه خود را از راه دور اجرا کنند.

هکرها با ارسال یک پیام ساختگی Smart Install با پرتکل TCP و پورت ۴۷۸۶ باعث سرریز شدن بافر دستگاه مورد هدف می شوند که پیامد های زیر را برای دستگاه دارد:

• راه‌اندازی دوبار‌ه‌ی دستگاه آسیب‌دیده
• ایجاد امکان اعمال کد دلخواه روی دستگاه برای هکر
• ایجاد یک لوپ نامحدود در دستگاه آسیب‌دیده که سیستم نگهبان(watchdog) را مورد هدف قرار دهد

محصولات آسیب‌پذیر شبکه

این آسیب‌پذیری، آن سری از دستگاه‌های سیسکو را تحت تاثیر قرار داده که نرم‌افزارهای آسیب‌پذیر IOS و IOS XE سیسکو را اجرا می‌کنند. تنها سوئیچ‌های Smart Install client  در مقابل این مشکل آسیب‌پذیرند. دستگاه‌های سیسکو که به عنوان دایرکتور Smart Install  پیکربندی شده‌اند، آسیب‌پذیر نیستند.

از جمله این دستگاه ها عبارتند از:

• Catalyst 4500 Supervisor Engines
• Catalyst 3850 Series
• Catalyst 3750 Series
• Catalyst 3650 Series
• Catalyst 3560 Series
• Catalyst 2960 Series
• Catalyst 2975 Series
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• SM-ES2 SKUs
• SM-ES3 SKUs
• NME-16ES-1G-P
• SM-X-ES3 SKUs

عملکرد کلاینت نصب هوشمند به طور پیش‌فرض درسوئیچ‌های IOS سیسکو روی انتشار نرم‌افزار سوئیچ‌های IOS سیسکو، فعال شده است؛ انتشار نرم‌افزاری که به آدرس باگ شناسه‌ی سیسکو، CSCvd36820، به‌روزرسان نشده است.

سوئیچ‌هایی که نسخه‌های قدیمی‌تر نرم‌افزار ۱۲.۲(۵۲)SE اجرا می کنند، قادر به اجرای Smart Install نیستند، اما اگر فرمان archive download-sw با مجوز EXEC را پشتیبانی کنند، می‌توانند Smart Install client  باشند.

چگونه بفهمیم ویژگی Smart Install client  فعال است؟

برای این که تعیین کنیم آیا دستگاه طوری پیکربندی شده که Smart Install client  در آن فعال است یا خیر، از فرمان how vstack config با مجوز  EXEC روی Smart Install client استفاده می‌کنیم. یک خروجی Role: Client و Oper Mode: Enabled یا Role: Client از فرمان show vstack config، تایید می‌کند که این ویژگی روی دستگاه فعال است.

مثال زیر خروجی فرمان show vstack config را نشان می‌دهد که روی سوئیچ‌های کاتالیست سیسکو که به عنوان Smart Install client  پیکربندی شده‌اند:
[code]

switch1# show vstack config
Role: Client (SmartInstall enabled)
.
.
.
switch2# show vstack config
Capability: Client
Oper Mode: Enabled
Role: Client

.
.
.
[/code]

تعیین نسخه‌ی نرم‌افزار IOS سیسکو

برای این که تعیین کنیم کدام یک از نسخه‌های نرم‌افزار IOS سیسکو روی یک دستگاه اجرا می‌شود، ادمین‌ها می‌توانند به دستگاه وارد شوند (Log in کنند) با استفاده از فرمان Show Version در CLI، به بنر سیستمی که ظاهر می‌شود رجوع کنید. اگر دستگاه نرم‌افزار IOS سیسکو را اجرا کند، سیستم پیامی شبیه به Cisco Internetwork Operating System Software یا Cisco IOS Software را نشان می‌دهد. هم‌چنین بنر شامل نام تصویر نصب‌شده‌ در پرانتز و بعد از آن هم اسم نسخه و شماره‌ی نسخه‌ی نرم‌افزار IOS سیسکو آمده است. بعضی از دستگاه‌های سیسکو فرمان show version را پشتیبانی نمی‌کنند یا ممکن است خروجی دیگری را تولید کنند.

مثال زیر خروجی فرمان را برای دستگاهی که نسخه‌ی ۱۵.۵(۲)T1 نرم‌افزار IOS سیسکو را اجرا می‌کند را نشان می‌دهد؛ دقت کنید که نام تصویر نصب‌شده‌ی آن C2951-UNIVERSALK9-M است:

[code]

Router> show version

Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team

[/code]

تعیین نسخه‌ی نرم‌افزار IOS XE سیسکو

برای این که تعیین کنید کدام یک از نسخه‌های نرم‌افزار XE IOS سیسکو روی یک دستگاه اجرا می‌شود، ادمین‌ها می‌توانند به دستگاه وارد شوند (Log in کنند) با استفاده از فرمان Show Version در CLI، به بنر سیستمی که ظاهر می‌شود رجوع کنید. اگر دستگاه نرم‌افزار IOS XE سیسکو را اجرا کند، سیستم پیامی شبیه به Cisco IOS Software، Cisco IOS XE Software یا پیامی مشابه را نشان می‌دهد.

مثال زیر خروجی فرمان را برای دستگاهی که نسخه‌ی ۱۶.۲.۱ نرم‌افزار IOS سیسکو را اجرا می‌کند، نشان می‌دهد؛ دقت کنید که نام تصویر نصب‌شده‌ی آن CAT3K_CAA-UNIVERSALK9-M است:

[code]
ios-xe-device# show version

Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre
[/code]

محصولات سیسکو که آسیب‌پذیر نیستند

همان‌طور که گفته شد، محصولات دیگر سیسکو از جمله سری SMB مورد بررسی قرار گرفته و در مقابل این مسئله آسیب‌پذیر نیستند. هم‌چنین سیسکو تایید کرده که این آسیب‌پذیری حتی نرم‌افزارهای IOS XR و NX-OS سیسکو را تحت‌تاثیر قرار نمی‌دهد.