ما تحتاج لمعرفته حول أحدث تصحيح لسيسكو

منذ وقت ليس ببعيد ، أعلن عملاق تكنولوجيا المعلومات عن ثغرة أمنية حرجة في نظام ASR 9000. وبموجب هذا الجزء ، نخبرك ما هو جوهر الخطأ وكيفية تصحيحه.


صور - ulleo - PD

تم اكتشاف مشكلة عدم الحصانة في أجهزة توجيه سلسلة ASR 9000 التي تعمل على IOS XR 64 بت. هذا هو المعدات المتطورة لمراكز البيانات لشركات الاتصالات ومشغلي شبكات الهاتف النقال ، والتي تبلغ سعتها 400 جيجا بايت في الثانية لكل فتحة وتدعم بطاقات خط 40G / 80G.

عيّنت نقاط الضعف المعرّف CVE-2019-1710 . حصلت على 9.8 من 10 على مقياس CVSS.

تم تطوير هذا المعيار بواسطة مجموعة من خبراء أمن المعلومات من شركات مثل Microsoft و Cisco و CERT و IBM لتقييم خطر الأخطاء.

لماذا هي خطيرة

يمنح هذا الخطأ للمهاجمين فرصة الوصول غير المصرح به إلى تطبيقات النظام على جهاز المسؤول الافتراضي. يمكن للمتسللين تنفيذ التعليمات البرمجية الضارة عن بُعد وتنفيذ هجمات حجب الخدمة. وفقًا لمهندسي Cisco ، تكمن المشكلة في العزل غير الصحيح لواجهة الإدارة الثانوية (MGT LAN 1 على معالج تبديل المسار - RSP) عن تطبيقات المسؤول الداخلية. يمكن للمهاجم استغلال مشكلة عدم الحصانة عن طريق الاتصال بأحدهم.

لتحديد ما إذا كانت هناك مشكلة في نظامك ، تحتاج إلى تسجيل الدخول إلى الجهاز الظاهري مسؤول النظام وإدخال الأمر show interface في وحدة التحكم. إذا كانت الواجهة الثانوية متصلة (كما في الإجابة أدناه) ، يكون جهاز التوجيه ضعيفًا.

sysadmin-vm:0_RSP1:eXR# show interface Tue Mar 19 19:32:00.839 UTC MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31 inet addr: 192.168.0.1 UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1 RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0 TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: 867463 TX bytes: 6889 sysadmin-vm:0_RSP1:eXR# 

يقول خبراء Cisco أن نظام ASR 9000 هو الوحيد الذي يكون عرضة للإصابة بهجمات الفيروسات. في الوقت نفسه ، لم تسجل الشركة بعد محاولات لتنفيذ هجوم قراصنة باستخدام CVE-2019-1710.

كيفية إغلاقه

نشرت شركة Cisco تصحيحًا يعمل على إصلاح CVE-2019-1710 كجزء من إصدارات IOS XR 6.5.3 و 7.0.1. التحديث متاح مجانًا لجميع المؤسسات التي لديها ترخيص محدث لنظام التشغيل (وأولئك الذين اشتروه سابقًا).

يوجد خيار بديل - يمكنك اللجوء إلى حل بديل يزيل مشكلة عدم الحصانة. تحتاج أولاً إلى الاتصال بالجهاز الظاهري للمشرف:

 RP/0/RSP1/CPU0:eXR#admin Tue Mar 12 22:46:37.110 UTC root connected from 127.0.0.1 using console on host 

ثم قم بتشغيل Bash وتحرير ملف التكوين calvados_bootstrap.cfg:

 sysadmin-vm:0_RSP1:eXR# run bash Tue Mar 12 22:46:44.224 UTC bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg 

في السطرين التاليين ، ستحتاج إلى إزالة علامة # وحفظ الملف.

 #CTRL_VRF=0 #MGMT_VRF=2 

إذا كان الحل يحتوي على نظامين RSP ، فيجب إزالة # في تكوين كل منهما. ثم أعد تشغيل الجهاز الظاهري:

 sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1 Tue Mar 12 22:49:28.589 UTC Reload node ? [no,yes] yes result Admin VM graceful reload request on 0/RSP1 succeeded. sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0: Confd is down RP/0/RSP1/CPU0:eXR# 

سوف تضطر إلى إرجاع الرسالة التالية:

 RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0: RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0: 

ماذا مصححة أخرى

بالتوازي مع التصحيح الخاص بـ CVE-2019-1710 ، أصدر عملاق تكنولوجيا المعلومات عشرون تصحيحًا إضافيًا لأوجه الضعف الأقل خطورة. وشملت ستة أخطاء في بروتوكول IAPP (بروتوكول نقطة الوصول) ، وكذلك في الواجهة WLC (وحدة تحكم LAN اللاسلكية) و Cisco VCS Expressway.

تشمل قائمة المنتجات التي تحتوي على تصحيحات: خوادم Blade للخوادم UCS B-Series ، ومظلة Cisco ، ومركز DNA ، وخدمة المغلفات المسجلة ، وموصل الدليل ، ومسجل الشبكة الرئيسي ، وما إلى ذلك. ويمكن الاطلاع على قائمة كاملة على الموقع الرسمي .


صور - ميل كلارك - PD

أيضًا في أوائل مايو ، أغلق مطورو الشركة ثغرة أخرى ASR 9000 و Cisco IOS XR. يرتبط بوظيفة PIM (الإرسال المتعدد للبروتوكول المستقل) ، والتي تحل مشكلة توجيه البث المتعدد. يسمح خطأ (حصل على المعرف CVE-2019-1712 ) للمهاجم بإعادة تشغيل عملية PIM عن بُعد وتنفيذ هجوم DoS.

بالإضافة إلى ذلك ، نشر المطورون سلسلة من التحذيرات فيما يتعلق بالثغرات الثابتة سابقًا. وفقًا لخبراء أمن المعلومات ، يتم استخدام بعضهم من قِبل مجموعة قراصنة السلاحف البحرية لهجمات DNS الخاصة بهم. وعد المهندسون بمراقبة الموقف ونشر تحديثات جديدة.

---

ITGLOBAL.COM هو مزود للسحب الخاصة والهجينة ، بالإضافة إلى خدمات أخرى تهدف إلى تطوير البنية التحتية لتكنولوجيا المعلومات لعملائنا. ما نكتب عنه في مدونة الشركات:

• كيفية حماية عملك من أحصنة طروادة رانسومواري
• لماذا يجب على عميل مزود السحابة معرفة مستوى الموثوقية في مركز البيانات
• Vitaliy Gritsay: حول استراتيجية التنمية الدولية ITGLOBAL.COM
• كيفية الحماية ضد DDoS في مزود السحابة
• وحدة تخزين NetApp AFF A300: المواصفات الفنية والرؤية الداخلية