مقالات

سیسکو مشکل دور زدن احراز هویت در نرم‌افزار مانیتورینگ خود را با ارائه وصله امنیتی جدیدی برطرف کرد

-


نویسنده: فردين صادقي
منبع: -

شرکت سيسکو يکي از آسيب‌پذيري‌هاي جدي و اساسي موجود در نرم‌افزار مديريت راه دور CPH را که توسط تامين کنندگان سرويس براي نظارت، سرپرستي و تدارک دستگاه‌هايimage22 خانگي مشترکان استفاده مي‌شود را با استفاده از وصله امنيتي جديدي برطرف کرد‌.

اين نقص امنيتي که توسط مهندسان شرکت مذکور يافته شده است، در رابط گرافيکي کاربر محصولات مبتني بر وب قرار داشته است و به هکرها اجازه دور زدن سيستم احراز هويت و دسترسي به شبکه‌هاي خانگي مشترکان را به عنوان مدير و سرپرست داده است‌. آسيب پذيري موجود به علت خطاي پردازشي در کنترل دسترسي مبتني بر نقش (RBAC) آدرس‌هاي اينترنتي يا URL ها بوده است‌. هکر با ارسال دستورات API از طريق پروتکل HTTP به URL خاصي، بدون تقدم احراز هويت مي‌تواند از اين آسيب‌پذيري بهترين بهره‌برداري را ببرد‌.

در چنين حالتي، يکي از بهره‌برداري‌ها، آن است که هکر اجازه هرگونه کاري را با مجوزهاي دسترسي مدير در CPH به دست مي‌آورد‌. به همين خاطر، شرکت سيسکو اظهار داشته است که نسخه‌هاي 6.3، 6.4 و 6.5 اين نرم‌افزار، آسيب پذير هستند و مديران شبکه‌ها بايد نرم‌افزار را به نسخه 6.5.0.1 ارتقاء دهند‌.


براساس اطلاعات موجود در صفحه محصولات شرکت سيسکو، نرم‌افزار مانيتورينگ و نظارتي CPH دربرگيرنده تعدادي از ابزارهاي پشتيباني مشتريان خانگي است و به صورت کلي نگاهي به کليه دستگاه‌هاي خانگي متصل به هم دارد که توسط تامين کنندگان سرويس، پشتيباني مي‌شوند. به هر حال، اين ويژگي مي‌تواند نقطه‌اي جذاب براي هکر باشد تا بتواند اقدام به دستکاري دستگاه‌هاي موجود در شبکه خانگي مشتريان کند يا آنکه پيکربندي‌هاي خاص خود را قرار دهد‌.


به هر حال، از ماه نوامبر تا‌کنون اين دومين باري است که شرکت سيسکو اقدام به ارائه وصله‌هاي امنيتي براي پوشش نقاط آسيب‌پذير نرم‌افزار‌هاي مانيتورينگ خود مي‌کند‌. باگ قبلي نيز مشابه با همين باگ مربوط به نقص در سيستم احراز هويت بود و در آن هکر مي‌توانست با مجوز‌هاي دسترسي مدير به شبکه وارد شود و پيکربندي‌هاي گوناگون خود را انجام دهد‌.

 


سایر مقالات

READ ARTICLE

هشدار! در گوشی‌های ارزان قیمت اندرویدی، برنامه‌های بک دور بیشتری یافته شده است

READ ARTICLE

سیسکو مشکل دور زدن احراز هویت در نرم‌افزار مانیتورینگ خود را با ارائه وصله امنیتی جدیدی برطرف کرد

READ ARTICLE

انتشار دو بدافزار مخرب LockyRansomware وKovter Click-Fraud از طریق ایمیل

READ ARTICLE

تروجان اندرویدی BankBot تهدید جدی برای سرقت اطلاعات بانکی کاربران گوشی‌های هوشمند