NEW Emerging Threat Blog Previews - 835x525px - Emerging Threat

سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.

آسیب‌ پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند. مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.

منابع خبر

بیشتر بخوانید

با معرفی اسمارت لایسنس های سیسکو (معرفی Cisco SLR License و Cisco PLR License) بجای شیوه سنتی، فعالسازی تمامی دستگاه ها با ارتباط با سرور مدیریت لایسنس های سیسکو (CSSM) انجام خواهد شد. در این روش تمامی قابلیت های دستگاههای درون شبکه با اتصال مستقیم به وبسایت و یا با استفاده از سرور مدیریت لایسنس ها (SSM On Premise) و با استفاده از لایسنس های موجود و خریداری شده توسط اسمارت اکانت سیسکو فرد و یا سازمان ، فعال خواهد شد. همچنین برای محیط هایی که بخاطر مسائل امنیتی و سیاست های داخلی ، دسترسی مستقیم به این سرورها ندارند میتوان از لایسنس SLR سیسکو برای فعالسازی قابلیت های مشخص و لایسنس PLR سیسکو برای فعالسازی تمامی قابلیت های دستگاه و به بصورت دائمی استفاده کرد.

شرکت بهپارت ارائه دهنده ارائه دهنده لایسنس های PLR و Smart کلیه محصولات سیسکو
لایسنس سیسکو روی تجهیزات زیر ساخت شبکه

بطور کلی، لایسنس های شبکه سیسکو شامل دو مدل لایسنس Network Essentials و لایسنس Network Advantage می شود. در این گروه لایسنس های Network Essentials توانایی فعال کردن قابلیت های پایه لایه دو و همچنین بعضی از ویژگی های لایه سه و بصورت محدود را دارا است اما لایسنس Network Advantage  تمام قابلیت های موجود را فعال خواهد نمود. در ادامه به معرفی هر یک از دوحالت لایسنس مربوط به لایسنس سوئیچ سیسکو و روتر سیسکو می پردازیم:

لایسنس Network Essentials سیسکو

 

ویژگی های مهمی که بوسیله این لایسنس ها فعال میگردند عبارتند از:

  • پشتیبانی از قابلیت های لایه دو مانند Private VLAN
  • پشتیبانی از قابلیت های QoS
  • مسیریابی لایه سه با استفاده از پروتکل های RIP، EIGRP و OSPF تا 1000 Route
  • پشتیبانی از ویژگی های لایه سه مانند Policy-Based Routing و IP SLA
  • پشتیبانی از استاندارد 1X بمنظور احراز هویت Client ها
  • پشتیبانی از StackWise
  • پشتیبانی از Zero Touch Provisioning
  • پشتیبانی از رمزنگاری 128-bit MACsec

این لایسنس ها در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس Network Advantage سیسکو

علاوه بر موارد ذکر شده و برای شبکه هایی که نیاز به قابلیت لایه سه پیشرفته تر دارند، میتوان از لایسنس های Network Advantage استفاده کرد و علاوه بر ویژگی های Network Essentials موارد زیر فعالسازی خواهد شد:

  • پشتیبانی کامل و بدون محدودیت از پروتکل های مسیریابی لایه سه مانند IS-IS، OSPF و BGP
  • پشتیبانی از Flexible network segmentation
  • پشتیبانی کامل از VRF, VXLAN, LISP, SGT, MPLS, BGP-EVPN
  • پشتیبانی از StackWise Virtual
  • پشتیبانی از Advanced Multicast
  • پشتیبانی از رمز نگاری 256-bit MACsec

توجه داشته باشید بعضی از این موارد با توجه به مدل های مختلف، متفاوت خواهد بود. این لایسنس ها برای فعالسازی قابلیت های تجهیرات در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس DNA سیسکو

تمامی تجهیزات این شرکت از قبیل سوئیچ سیسکو و روتر سیسکو همچنین برخی نرم افزار های امنیتی مانند ISE و پرایم، علاوه بر دارا بودن لایسنس های Network Essentials و Network Advantage، که ویژگی های مختلف را برای آنها فعال می نماید ، به منظور بهره مندی از فناوری Software Defined Network و پشتیبانی از راهکارهای SD-WAN ، SD-Access و ACI هماهنگ شدن با این پلتفرم، نیاز به استفاده از لایسنس DNA Essentials ، DNA Advantage و در حالت فول لایسنس DNA Premier دارند.

انواع Cisco DNA License به شرح زیر است:

لایسنس DNA Essentials سیسکو

این لایسنس حالت پایه لایسنس های DNA می باشد و ویژگی های مهم زیر را برای تجهیزات شبکه فعال خواهد کرد:

  • ویژگی Full Flexible NetFlow : نسل جدید Flow Technology که موجب بهبود عملکرد شبکه و کاهش هزینه ها خواهد شد.
  • ویژگی Cisco IOS Embedded Event Manager (EEM) : این ویژگی موجب بررسی لحظه ای اتفاقات و رفتارهای شبکه و خودکار کردن فرآیندها میشود.
  • ویژگی Software Image Management (SWIM) : موجب اجرای آپدیت خودکار سیستم عامل تجهیزات شبکه خواهد شد.
  • ویژگی LAN automation : پیکربندی و پیاده سازی ها بشکل خودکار در بستر شبکه کمک خواهد کرد.
  • داشبوردOverall health  : در این قسمت سطح سلامت تجهیزات شبکه بصورت لحظه ای قابل بررسی میباشد.
  • اپلیکیشن Network Plug and Play (PnP) : این قسمت قابلیت Zero-touch provisioning را بمنظور بهره برداری از تجهیزات در سریع ترین زمان ممکن پشتیبانی میکند و زمان پیاده سازی تجهیزات جدید در شبکه ها را بشدت کاهش میدهد.
لایسنس DNA Advantage سیسکو

این لایسنس علاوه بر ویژگی های ذکر شده در بالا از موارد زیر نیز پشتیبانی می کند:

  •  قابلیت SD-Access and Network Health Insights : قابلیت اعمال خودکار سیاست ها ( Policy-based automation ) و Segmentation را برای شبکه های SD-Access فراهم میگرداند.
  • قابلیت Cisco ThousandEyes Network and Application Synthetics : این ویژگی با هماهنگ شدن با سری سوئیچ های کاتالیست 9300 و 9400 سیسکو، توانایی نظارت برروی شبکه و اپلیکیشن های موجود در آن مهیا میکند.
  • قابلیت Cisco AI Network Analytics : این ویژگی با استفاده از Machine learning امکان بهبود فرآیندهای شبکه را با کمک سرویس DNA Assurance فراهم میکند.
  • قابلیت Cisco AI Endpoint Analytics : این قابلیت با چک کردن مداوم Endpoint های درون شبکه، آنها را درون گروه های مختلف به منظور نظارت جامع تر دسته بندی میگرداند.
  • قابلیت Group-Based Policy Analytics : قابلیت Segmentation را با نظارت مداوم بهبود میبخشد.
  • قابلیت Cisco User-Defined Network : امکان ایجاد دسترسی های مختلف به کاربران برای کنترل دسترسی تجهیزات وایرلس خود را امکان پذیر میکند.
  • قابلیت Application Policy Creation : امکان ایجاد سیاست های مختلف را برای اپلیکیشن های گوناگون مهیا میکند.
  • قابلیت Application Hosting : امکان راه اندازی Third-party applications را درون کانتینرهای امن را درون سوئیچ های سیسکو فراهم میکند.
  • قابلیت Third-party API Integration : امکان هماهنگ شدن با Third-party applications را از طریق API مهیا میکند.
  • قابلیت Encrypted Traffic Analytics (ETA) : بجز برای Stealthwatch ، برای بقیه تجهیزات امکان شناسایی بدافزارها و ترافیک های مخرب را از درون ترافیک های رمز شده مهیا میکند.
  • قابلیت ERSPAN : در بعضی از پلتفرم ها، امکان بررسی ترافیک های هدایت شده را فراهم میاورد.
  • قابلیت Wireshark : در بعضی از پلتفرم ها، امکان آنالیز بسته های ترافیکی را ایجاد میکند.
  • قابلیت AVC (NBAR2) : دید جامع برروی نسل جدید اپلیکیشن های تحت شبکه را مهیا میکند.
  • قابلیت Cisco Prime Infrastructure License : برای سوئیچ های کاتالیست 9000 سیسکو امکان هماهنگ شدن با نرم افزار Cisco Prime برای راهکاری جامع جهت مدیریت تجهیزات سیمی و بی سیم شبکه را در اختیار مدیران قرار میدهد.
لایسنس DNA Premier سیسکو

این لایسنس فول ترین حالت لایسنس های DNA میباشد که علاوه بر تمام موارد ذکر شده در دور حالت قبلی، شامل بهره مندی از قابلیت های Cisco Stealthwatch و Cisco ISE درون شبکه نیز می باشد.

لازم به ذکر است خرید یکی از لایسنس های DNA هنگام خرید سوئیچ های کاتالیست سری 9000 سیسکو اجباری می باشد. این لایسنس ها علاوه بر لایسنس Network Essentials و یا Network Advantage مورد نیاز می باشد.

لایسنس PLR سیسکو

این سری از لایسنس های سیسکو برای محیط های امنیتی و آفلاین که ارتباط با سرورهای مدیریت لایسنس های سیسکو، بصورت دائمی و حتی دوره ای، امکان پذیر نمی باشد، کاربرد دارد. در این روش کاربر بروی بعضی از محصولات خاص با دریافت Request code و ارسال آن برای پارتنرهای سیسکو یک Authorization code دریافت کرده و برروی دستگاه اعمال می کند. پس از انجام این فرآیند، تمامی ویژگی های محصول بصورت فول و دائمی و نامحدود (بدون نیاز به تمدید دوره ای) فعال خواهد شد و با توجه به تحریم ها و محدویت های موجود در ایران در حال حاضر استفاده از لایسنس PLR بهترین و راحت ترین حالت فعالسازی لایسنس محصولات سیسکو می باشد. لازم بذکر است لایسنس PLR از ویژگی های لایسنس های DNA سیسکو را پشتیبانی نمیکند.

در حال حاضر محصولات زیر مدل لایسنس PLR را پشتیبانی می کنند:

  • سوئیچ کاتالیست سیسکو: Cisco Catalyst 3000 , 9000
  • سوئیچ نکسوس سیسکو: Cisco Nexus 3000 , 5000 , 6000 , 7000 , 9000
  • روتر ISR سیسکو: Cisco ISR 1000 , 4000
  • روتر CSR1000vسیسکو
  • روتر ASR سیسکو : Cisco ASR 900 , 1000 , 9000
  • فایروال سیسکو: Cisco ASA-X, Cisco FTDv، Cisco Firepower 1000 , 2100 , 4100 , 9300
  • نرم افزار ISE سیسکو

بیشتر بخوانید