نقص‌‌ های امنیتی در محصولات Cisco ،Fortinet و VMware و اصلاح فوری آنها

شرکت‌های Cisco، Fortinet و VMware اوایل فوریه ۲۰۲۴ اصلاحاتی را برای برخی نقص‌‌ های امنیتی در محصولات خود منتشر کردند، از جمله آسیب پذیری‌ های بحرانی که می‌‌توانند برای انجام اقدامات دلخواه در دستگاه‌‌های آسیب‌ دیده مورد سوء استفاده قرار گیرند.

۱. Cisco

نقص‌ های امنیتی سیسکو با شناسه‌های CVE-2024-20252 و CVE-2024-20254 (امتیاز CVSS: 9.6) و CVE-2024-20255 (امتیاز CVSS: 8.2) دنبال می‌شوند و سری Expressway سیسکو را تحت تأثیر قرار می‌دهند که می‌توانند به یک مهاجم غیرقانونی و از راه دور اجازه دهند تا حملات جعل درخواست بین سایتی (CSRF) را به انجام رساند.

تمام مشکلاتی که در طول تست امنیت داخلی کشف شده است، ناشی از محافظت ناکافی CSRF برای رابط مدیریت مبتنی بر وب است که می‌تواند به مهاجم اجازه دهد تا اقدامات دلخواه را با سطح دسترسی کاربر مورد نظر به انجام رساند.

سیسکو در خصوص CVE-2024-20252 و CVE-2024-20254 اظهار داشت که اگر کاربر مورد نظر دارای سطح دسترسی Admin باشد، این اقدامات می‌توانند شامل اصلاح پیکربندی سیستم و ایجاد حساب‌های جدید دارای سطح دسترسی بالا باشند.

از سوی دیگر، سوء استفاده موفق از CVE-2024-20255 با هدف قرار دادن یک کاربر دارای دسترسی Admin می‌تواند عامل تهدید را قادر به بازنویسی تنظیمات پیکربندی سیستم کند که در نتیجه وضعیت انکار سرویس (DoS) ایجاد خواهد شد.

یکی دیگر از تفاوت‌های مهم بین این دو مجموعه نقص های امنیتی این است که در حالی که دو مورد اول بر دستگاه‌های سری Expressway سیسکو در پیکربندی پیش‌فرض تأثیر می‌گذارند، CVE-2024-20252 تنها در صورتی بر آن‌ها تأثیر می‌گذارد که ویژگی API دیتابیس کلاستر (CDB) که به طور پیش فرض غیرفعال است، فعال شده باشد.

اصلاحات آسیب ‌پذیری‌های مذکور در نسخه‌‌های ۱۴.۳.۴ و ۱۵.۰.۰ سری Expressway سیسکو در دسترس می‌باشند.

۲. Fortinet

Fortinet (فورتینت)، به نوبه خود، دور دوم به روز رسانی‌ها را برای رسیدگی به موارد دور زدن نقص بحرانی (CVE-2023-34992, CVSS score: 9.7 ) که پیش‌تر فاش شده بود، منتشر کرد. این نقص می‌تواند منجر به اجرای کد دلخواه شود.

نقص ‌هایی که با شناسه CVE-2024-23108 و CVE-2024-23109 دنبال می‌‌شوند (امتیازات CVSS: 9.8)، ممکن است به مهاجم غیرمجاز از راه دور اجازه دهند تا دستورات غیرمجاز را از طریق درخواست ‌های API ساخته ‌شده اجرا کند.

شایان ذکر است که Fortinet یک نوع دیگر از CVE-2023-34992 را با رفع آسیب پذیری CVE-2023-36553 (امتیاز CVSS: 9.3) در نوامبر 2023 برطرف ساخت. دو آسیب‌ پذیری جدید در نسخه‌های زیر برطرف شده‌اند.

• FortiSIEM نسخه 7.1.2 یا بالاتر
• FortiSIEM نسخه 7.2.0 یا بالاتر
• FortiSIEM نسخه 7.0.3 یا بالاتر
• FortiSIEM نسخه 6.7.9 یا بالاتر
• FortiSIEM نسخه 6.6.5 یا بالاتر
• FortiSIEM نسخه 6.5.3 یا بالاتر
• FortiSIEM نسخه 6.4.4 یا بالاتر

فورتینت هشتم فوریه ۲۰۲۴ از یک نقص امنیتی بحرانی جدید در FortiOS SSL VPN خبر داد که احتمالاً تا کنون مورد سوء استفاده فعال قرار گرفته است. این آسیب پذیری با شناسه CVE-2024-21762 (امتیاز CVSS: 9.6) دنبال می‌گردد و امکان اجرای کدها و دستورات دلخواه را فراهم می‌آورد. گزارش کامل آن را می‌توانید در اینجا مطالعه کنید.

۳. VMware

VMware نیز در خصوص پنج نقص با شدت متوسط تا مهم در Aria Operations for Networks (vRealize Network Insight سابق) هشدار صادر کرد:

• CVE-2024-22237 (امتیاز CVSS: 7.8) – آسیب پذیری افزایش سطح دسترسی لوکال که به کاربر کنسول اجازه می‌دهد تا به طور منظم دسترسی root داشته باشد.
• CVE-2024-22238 (امتیاز CVSS: 6.4) – آسیب‌ پذیری اسکریپت بین سایتی (XSS) که به یک عامل مخرب با سطح دسترسی admin اجازه می ‌دهد کد مخرب را به پیکربندی پروفایل کاربر تزریق کند.
• CVE-2024-22239 (امتیاز CVSS: 5.3) – آسیب پذیری افزایش سطح دسترسی لوکال که به کاربر کنسول اجازه می دهد تا به طور منظم به shell دسترسی داشته باشد.
• CVE-2024-22240 (امتیاز CVSS: 4.9) – آسیب ‌پذیری خواندن فایل لوکال که به یک عامل مخرب با دسترسی admin اجازه می ‌دهد به اطلاعات حساس دسترسی داشته باشد.
• CVE-2024-22241 (امتیاز CVSS: 4.3) – آسیب‌ پذیری اسکریپت بین سایتی (XSS) که به یک عامل مخرب با دسترسی admin اجازه می‌‌دهد کد مخرب را تزریق و حساب کاربری را تصاحب کند.

دریافت به موقع پچ‌ها و اصلاحات امنیتی اولین گام ضروری است که می‌بایست به منظور رسیدگی به آسیب پذیری ها از سوی سازمان‌ها برداشته شود. از این رو، به منظور کاهش خطرات، به تمام کاربران VMware Aria Operations for Networks نسخه 6.x توصیه می شود که نرم افزار خود را به نسخه 6.12.0 ارتقا دهند.

منابع