Cisco باگی را که CIA برای کنترل 318 سوئیچ مدل سیسکو مورد استفاده قرار داده بود نابود کرد!

در شرایطی که همواره انواع و اقسام روش‌های هوشمندانۀ هک در حال به‌کارگیری و به‌روز شدن هستند، شکی نیست که بهترین راه برای مقابله با این حملات -و یا دست‌کم کاهش اثرات مخرب آن‌ها- اقدام توسط خود شرکت هدف است. منطقاً بهترین راه‌کار را می‌توان از شرکت ارائه‌دهندۀ محصولی انتظار داشت که مورد حمله قرار گرفته است. اسنادی که اخیراً توسط ویکی‌لیکس منتشر شده است، متأسفانه از حمله‌ای وسیع و قدرتمند به دیوایس‌هایی که از نرم‌افزارهای سیسکو استفاده می‌کرده‌اند، پرده برداشته است.

به‌تازگی با هدف قرار گرفتن 318 سوئیچ مدل سیسکو، آسیبی جدی به Cluster Management Protocol یا به‌اختصار CMP وارد آمده است؛ این حملات تخریبی به‌گونه‌ای است که مهاجم کنترل دیوایس هدف را به‌طور کامل به‌دست می‌گیرد! این مشکل تا جایی پیش‌روی کرد که شرکت سیسکو را نسبت به ایجاد محدودیت برای استفاده از CMP برای ارتباطات لوکال ناتوان کرد. اما در این مرحله، شرکت سیسکو اقداماتی را برای کاهش اثرات این حمله پیشنهاد کرد که انجام این اقدامات باعث می‌شود که دست‌کم، آپدیت نرم‌افزار مورد حمله قرار نگیرد.

بالاخره سیسکو توانست Exploit غیرمجاز و تخریبی در قالب این حمله را مدیریت کند؛ این حمله به‌شکل کنترل و اجرای کد از راه دور بر روی 318 سوئیچ مدلی که قبلاً توسط شرکت سیسکو به‌فروش رسیده بود، انجام گرفت. این حملات اولین بار زمانی برملا شد که شرکت سیسکو چند ماه پیش، اولین بخش دیتای منقضی شدۀ CIA که توسط ویکی‌لیکس منتشر شده بود را آنالیز کرد. در راهنمای آپدیت‌شدۀ امنیتی سیسکو آمده است:

سیسکو آپدیت‌های نرم‌افزاری خود را منتشر کرد که گویای این آسیب‌پذیری و حملهٔ گسترده بود و راه دیگری که نشان‌دهندۀ این حمله باشد، وجود نداشت!

در این راهنما، کل داستان این حملۀ تخریبی با جزئیات کامل و لیست مدل‌های آسیب‌دیده آمده است. مجموعهٔ اسناد والت 7 که توسط ویکی‌لیکس منتشر شده است، از تعداد قابل‌توجه دیوایس‌های مختلفی که مورد حمله قرار گرفته‌اند پرده برداشته است. از طریق این حمله، CIA توانسته است با انجام عملیات هک، به دیوایس‌های مختلفی نفوذ کند (همچنین شرکت‌های اپل و گوگل تأیید کردند که باگ‌هایی را که گویای نفوذ دیتای CIA در سیستم‌های آن‌ها بوده است رفع کرده‌اند.)

محققان سیسکو آسیبی جدی در بیش از 300 مدل از سوئیچ‌های این شرکت را کشف کردند؛ این باگ، CVE-2017-3881 نام گرفته است و به هکرهای بالقوۀ دیگر و آژانس‌هایی مانند CIA این امکان را می‌دهد تا کنترل سوئیچ ها را از راه دور به‌طور کامل به‌دست بگیرند.

بر اساس گزارشی در این رابطه، این باگ در پروتکل مدیریت خوشه‌ای سیسکو موسوم به CMP باقی می‌ماند و  برای مهاجم این امکان را فراهم می‌کند تا از طریق به‌کارگیری بهترین امکانات از خود سیستم، کدها را از راه دور اجرا و کنترل کند (CMP از پروتکل تل‌نت به‌عنوان ابزاری برای سیگنال کردن و ارسال دستورات در شبکه‌‌های داخلی استفاده می‌کند.)

سیسکو اعلام کرد که این آسیب گسترده در نتیجۀ عدم توانایی خود این شرکت در محدود کردن استفاده از آپشن‌های تل‌نت برای ارتباطات لوکال میان شاخه‌ها ایجاد شده است. دلیل دیگر این آسیب‌پذیری، پردازش نادرستِ آپشن‌های ناصحیح CMP بوده است.

برای انجام این حمله، مهاجم آپشن‌های ناصحیح CMP را در زمان ایجاد سشن تل‌نت، توسط دیوایسی که مورد حمله قرار گرفته است، ارسال می‌کند. این در شرایطی است که دیوایس قبلاً برای پذیرش کانکشن تل‌نت، پیکربندی شده بوده است.

این اسکپلویت (Exploit) به مهاجم این امکان را می‌دهد که کد مورد نظر خود را اجرا کند و کنترل کامل دیوایس را به‌دست آورد و یا کاری کند که دیوایس به‌صورت کامل ریلود شود. بر اساس گفتۀ راهنمای منتشرشده توسط سیسکو، راه دیگری در مقابل این حمله وجود ندارد! همچنین در آینده امکان حمله به آپدیت‌ها هم وجود دارد اما این آسیب‌پذیری در صورتی عملی خواهد شد که دیوایس مورد حمله برای دریافت کانکشن تل‌نت پیکربندی شده باشد.

بنابراین به‌عنوان یک اقدام متقابل، سیسکو Disable کردن تل‌نت را برای ایجاد ایمنی درمقابل درخواست‌های متفرقه برای کانکشن‌ پیشنهاد می‌کند. شرکت برای انجام این کار در این راهنما، دستورالعملی ارائه داده و استفاده از پروتکل SSH را پیشنهاد می‌کند.

کاربرانی که مایل نیستند تل‌نت را Disable کنند، می‌توانند با استفاده از Infrastructure Access Control Lists (پیشنهادشده توسط سیسکو)، میزان تهدید برای دیوایس‌های خود را کاهش دهند. برای استفاده از این لیست‌ها، کاربر می‌بایست در کنار نام دیوایس‌هایی که مجاز به ارسال یا دریافت دستورات تل‌نت هستند، علامت چک قرار دهد.