ایتنا-شركت سیسكو نسخه جدیدی از میان افزار برخی از مسیریاب های تجاری كوچك خود و كنترلرهای شبكه وایرلس را به منظور برطرف نمودن آسیب پذیری ها منتشر كرده است.
يکشنبه ۱۸ اسفند ۱۳۹۲ ساعت ۱۰:۳۵
انتشار اصلاحیه های سیسكو
شركت سیسكو نسخه جدیدی از میان افزار برخی از مسیریاب های تجاری كوچك خود و كنترلرهای شبكه وایرلیس را به منظور برطرف نمودن آسیب پذیری ها منتشر كرده است.
این آسیب پذیری ها می توانند به مهاجمان راه دور اجازه دهند تا كنترل دستگاه های آسیب پذیر را در اختیار بگیرند و یا دسترسی پذیری آن ها را تحت تاثیر قرار دهند.
به گزارش ایتنا از مرکز ماهر، یك آسیب پذیری در واسط مدیریتی وب دستگاه های سیسكو RV110W وایرلیس سری N دیوار آتش و VPN، RV215W وایرلیس سری N مسیریاب و VPN و CVR100W وایرلیس سری N مسیریاب و VPN می تواند به گونه ای مورد سوء استفاده قرار بگیرد كه یك مهاجم راه دور بدون احراز هویت دسترسی مدیریتی دستگاه آلوده را در اختیار بگیرد.
شركت سیسكو در راهنمایی امنیتی خود آورده است كه این آسیب پذیری به دلیل مدیریتی نامناسب درخواست های تایید هویت ایجاد شده است. یك مهاجم می تواند از این آسیب پذیری برای شنود كردن، تغییر دادن و یا ثبت مجدد درخواست های تایید هویت سوء استفاده نماید.
سوء استفاده موفقیت آمیز از این آسیب پذیری می تواند به مهاجم این امكان را بدهد تا دسترسی سطح ادمین واسط مدیریتی مبتنی بر وب دستگاه آلوده را بدست آورد.
شركت سیسكو عدد ۱۰ را به این آسیب پذیری نسبت داده است (این عدد در سیستم امتیازدهی آسیب پذیری (CVSS) بالاترین عدد می باشد) زیرا این رخنه می تواند باعث شود تا دسترسی پذیری، محرمانگی و جامعیت دستگاه تحت تاثیر قرار گیرد.
به كاربران توصیه می شود تا میان افزار دستگاه های آسیب پذیر را به بالاترین نسخه به روز رسانی نمایند. نسخه های اصلاح شده میان افزار عبارتند از: سیسكو RV110W وایرلیس سری N دیوار آتش و VPN نسخه ۱.۲.۰.۱۰، RV215W وایرلیس سری N مسیریاب و VPN نسخه ۱.۱.۰.۶ و CVR100W وایرلیس سری N مسیریاب و VPN نسخه ۱.۰.۱.۲۱.
شركت سیسكو نیز پنج آسیب پذیری انكار سرویس و یك آسیب پذیری دسترسی غیرمجاز را در نرم افزار در حال اجرا بر روی تعداد زیادی از كنترلرهای LAN وایرلیس، برطرف كرده است.
آسیب پذیری انكار سرویس می تواند از طریق ارسال پیام های دستكاری شده خاص IGMP نسخه ۳، بسته های MLD نسخه ۲، فریم های اترنت ۸۰۲.۱۱ و درخواست های لاگین WebAuth مورد سوء استفاده قرار بگیرد.
این حملات می تواند دستگاه آلوده را مجبور كند تا مجددا راه اندازی شود و یا بنا به روشی كه برای سوء استفاده پیاده سازی می شود می تواند شرایط انكار سرویس دائمی را بوجود آورد.
در راهنمایی امنیتی شركت سیسكو آمده است كه یك مهاجم می تواند از آسیب پذیری دسترسی غیرمجاز سوء استفاده نماید و با استفاده از اعتبارنامه های AP كه به صورت محلی ذخیره شده اند از یك دستگاه آلوده احراز هویت دریافت كند.
سوء استفاده موفقیت آمیز ممكن است به مهاجم اجازه دهد تا كنترل كامل دستگاه آلوده را در اختیار بگیرد و تغییرات دلخواه را در پیكربندی آن اعمال نماید.
کد مطلب: 29824
