بروز آسیب پذیری تجهیزات سیسکو در سیستم عامل اپل/ توصیه به کاربران
تاریخ انتشار: ۲۵ فروردین ۱۳۹۷ | کد خبر: ۱۸۰۶۲۵۹۱
به دنبال آسیب پذیری بحرانی هفته گذشته تجهیزات سیسکو که باعث تهدید سایبری در بسیاری از کشورهای جهان از جمله ایران شد، مرکز ماهر دو اطلاعیه جدید صادر کرد.
به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار دو اطلاعیه در مورد آسیبپذیری بحرانی در سرویس QoS تجهیزات سیسکو و نیز نقص امنیتی در قابلیت Smart Install تجهیزات سیسکو توضیح داد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
بروز آسیب پذیری تجهیزات سیسکو در سیستم عامل اپل
مرکز ماهر اعلام کرد: «اخیرا آسیب پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصه CVE-۲۰۱۸-۰۱۵۱، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف «عدم بررسی مرز حافظه تخصیص داده شده» در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP ۱۸۹۹۹ دستگاههای آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.»
دستگاه های آسیب پذیر
سرویس و پورت آسیبپذیر به صورت پیشفرض روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت Adaptive QoS for Dynamic Multipoint VPN (DMVPN) و نسخهای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیبپذیری هستند.
دراین راستا کاربران با استفاده از دستور show udp می توانند از غیر فعال بودن این پورت اطمینان حاصل کنند. همچنین برای مسدود سازی این آسیبپذیری می توان با استفاده از ACL، دسترسی به پورت UDP ۱۸۹۹۹ تجهیز را مسدود کرد.
نقص امنیتی در قابلیت Smart Install تجهیزات سیسکو
درهمین حال مرکز ماهر پیرو انتشار توصیه نامه اخیر سیسکو در تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت Smart Install، توضیح داد: « بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راهاندازی مجدد (reload) دستگاه لغو شده و سرویس Smart Install مجددا فعال می شود.»
تجهیزات تحت تاثیر این نقص عبارتند از:
▫️ Cisco Catalyst ۴۵۰۰ and ۴۵۰۰-X Series Switches: ۳.۹.۲E/۱۵.۲(۵)E۲
▫️ Cisco Catalyst ۶۵۰۰ Series Switches: ۱۵.۱(۲)SY۱۱, ۱۵.۲(۱)SY۵, ۱۵.۲(۲)SY۳
▫️ Cisco Industrial Ethernet ۴۰۰۰ Series Switches: ۱۵.۲(۵)E۲, ۱۵.۲(۵)E۲a
▫️Cisco ME ۳۴۰۰ and ME ۳۴۰۰E Series Ethernet Access Switches: ۱۲.۲(۶۰)EZ۱۱
مرکز ماهر توصیه کرد: کاربران در صورت استفاده از این تجهیزات باید نسبت به بروزرسانی IOS و یا استفاده از ACL به منظور مسدود سازی ترافیک ورودی به پورت ۴۷۸۶ TCP تجهیز اقدام کنند.
منبع: مهر
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.mehrnews.com دریافت کردهاست، لذا منبع این خبر، وبسایت «مهر» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۸۰۶۲۵۹۱ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
حفاظت از دادههای شخصی کاربران مهمترین عامل اعتماد به سکوهای داخلی
به گزارش خبرنگار خبرگزاری علم و فناوری آنا، عیسی زارع پور وزیر ارتباطات و فناوری اطلاعات در واکنش به تصویب لایحه «حفاظت از دادههای شخصی» که با حضور در ویراستی نوشت: «حفاظت از دادههای شخصی کاربران در فضای مجازی از مهمترین عوامل اعتماد مردم به سکوهای داخلی و موجب رشد پایدار اقتصاد دیجیتال است.
از اعضای کمیسیون حقوقی که با حضور کامل در جلسات فشرده، سند را بررسی و تصویب نمودند متشکرم. این حرکت با فتوای محکم رهبرانقلاب آغاز و باهمت دولت و پیگیری مجلس به نتیجه خواهد رسید.»
گفتنی است روز گذشته وزرای دادگستری و ارتباطات و فناوری اطلاعات و معاون حقوقی و برخی دیگر از معاونان رئیس جمهور و اعضای کمیسیون حقوقی و قضائی دولت و با مشارکت رئیس مرکز ملی فضای مجازی و همچنین با حضور جمعی از مدیران و کارشناسان دستگاههای اجرایی و برگزاری ٨ جلسه سه ساعته لایحه «حفاظت از دادههای شخصی» به تصویب این کمیسیون رسید. این لایحه یکی اقدامهای مهم برای حفاظت از حقوق مردم در فضای مجازی و افزایش اعتماد به سکوهای بومی است این لایحه بعد از تصویب در هیئت دولت برای تصویب نهایی به مجلس شورای اسلامی ارسال میشود.
انتهای پیام/