آسیب­ پذیری انکار سرویس IPsec، در نرم­ افزارها و تجهیزات امنیتی سیسکو

کد آسیب ­پذیری: CVE-2018-0472

شرح:

یک آسیب­ پذیری در کد راه ­انداز چندین پلتفرم نرم ­افزاری سیسکو IOS XE، و تجهیزات امنیتی سازگار سیسکو سری ASA 500، به مهاجم احراز هویت نشده از راه دور اجازه می ­دهد دستگاه را مجبور به بارگذاری مجدد کند.

دلیل آسیب­ پذیری پردازش نامناسب سرآیند احراز هویت IPsec تغییر شکل یافته و یا داد­ه ای امنیتی بسته ­بندی شده در پکت­ ها است. مهاجم می­ تواند با ارسال بسته ­های IPsec تغییر یافته برای پردازش در دستگاه، آسیب ­پذیری را مورد بهره برداری قرار دهد. سیسکو بروز رسانی نرم ­افزاری را برای حل این مشکل ارائه کرده است.

محصولات تحت تاثیر قرار گرفته

این آسیب ­پذیری چندین پلتفرم را که نرم افزار سیسکو IOS XE و سری بخصوصی از تجهیزات امنیتی سازگار سیسکو سری 5500-X، و یا نرم افزار سیسکو ASA یا (Cisco Firepower Threat Defense (FTD را اجرا می­ کنند تحت تاثیر قرار می­ دهد.

محصولات آسیب­ پذیر

این آسیب ­پذیری نرم ­افزار سیسکو IOS XE را که بر روی محصولات زیر اجرا می ­شود تحت تاثیر قرار می ­دهد. مدل­ های دیگر آسیب ندیده ­اند.

  • Cisco ASR 1000 Series Aggregation Services Routers:
    • ASR 1001-X
    • ASR 1001-HX
    • ASR 1002-X
    • ASR 1002-HX
    • Cisco ASR 1000 Series 100-Gbps Embedded Service Processor (ASR1000-ESP100)
    • Cisco ASR 1000 Series 200-Gbps Embedded Service Processor (ASR1000-ESP200)
  • Cisco 4000 Series Integrated Services Routers:
    • ISR 4431
    • ISR 4451-X

نرم ­افزار سیسکو IOS XE بشرطی که بگونه ­ای تنظیم شده باشد که ارتباطات IPsec VPN را خاتمه دهد، آسیب ­پذیر است. این موارد به عبارت زیر هستند:

  • LAN-to-LAN VPN
  • Remote-access VPN, excluding SSL VPN
  • Dynamic Multipoint VPN (DMVPN) 
  • FlexVPN
  • Group Encrypted Transport VPN (GET VPN)
  • IPsec virtual tunnel interfaces (VTIs)
  • Open Shortest Path First Version 3 (OSPFv3) Authentication Support with IPsec

در صورتی که دستگاهی که نرم­ افزار سیسکو IOS XE را اجرا می­ کند بگونه ­ای تنظیم شده باشد که ارتباطات IPsec VPN را خاتمه دهد، یا باید یک crypto map حداقل برای یک واسط در آن تنظیم شود و یا دستگاه باید با IPsec VTIs تنظیم گردد.

مدیران شبکه باید از دستور show running-config ، برای بررسی اینکه آیا خروجی بازگشتی حاوی یک crypto map است که حداقل در یک واسط باشد، استفاده کنند. مثال زیر یک crypto map به نام map-group1  که در واسط GigabitEthernet 0/0/0 تنظیم شده است را نشان می­ دهد.

Router# show running-config

<!– Output Omitted –>

interface GigabitEthernet0/0/0

crypto map map-group1

مدیران شبکه باید از دستور show running-config  برای بررسی اینکه آیا خروجی بازگشتی حاوی یک پروفایل تونل حفاظتی IPsec است که حداقل تحت یک واسط تونل قرار دارد، استفاده کنند. مثال زیر یک واسط VTI نشان می­دهد.

Router# show running-config

interface tunnel 0

tunnel mode ipsec ipv4

tunnel protection ipsec profile PROF1

نکته: IPsec VPN بصورت پیش­ فرض تنظیم نشده است.

در صورتی که یک دستگاه که نرم ­افزار سیسکو IOS XE را اجرا می­ کند، برای پشتیبانی از “پشتیبانی احراز هویت OSPFv3” با IPsec تنظیم شده باشد، تنظیمات در حال اجرا حاوی یکی از موارد زیر خواهد بود:

  • ipv6 ospf encryption
  • ipv6 ospf authentication
  • ospfv3 authentication ipsec
  • ospfv3 encryption ipsec
  • area <area-id> authentication ipsec
  • area <area-id> encryption ipsec
  • area <area-id> virtual-link <router-id> authentication ipsec spi
  • area <area-id> virtual-link <router-id> encryption ipsec spi

روش تعیین نسخه نرم ­افزار سیسکو IOS XE

برای تعیین نسخه نرم ­افزار سیسکو IOS XE در دستگاه، مدیران شبکه می ­توانند وارد دستگاه شده، دستور show version  را در CLI اجرا کنند، و نهایتا به اعلان سیستمی که نمایش داده می­ شود مراجعه کنند. در صورتی که دستگاه نرم ­افزار سیسکو IOS XE را اجرا می­ کند، اعلان سیستمی عبارت Cisco IOS Software، Cisco IOS XE Software و یا یک مورد مشابه را نمایش خواهد داد.

روش تعیین نسخه نرم ­افزار سیسکو ASA

برای بررسی اینکه آیا یک نسخه آسیب ­پذیر نرم ­افزار سیسکو ASA بر روی دستگاه در حال اجراست، مدیران شبکه می توانند از دستور show version  استفاده کنند. مثال زیر نتیجه اجرای این دستور را بر روی یک دستگاه که نسخه (1)9.2 نرم­ افزار سیسکو ASA را اجرا می­کند نمایش می ­دهد.

ciscoasa# show version | include Version

Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)

تاریخ: 28/9/2018 – 6/7/1397

منبع: tools.cisco.com

فهرست