«اليوم صفر».. ثغرة أمنية بأجهزة «سيسكو» تهدد شبكات المعلومات بالتوقف - الإمارات اليوم

لا يوجد حل متكامل لها حتى الآن

«اليوم صفر».. ثغرة أمنية بأجهزة «سيسكو» تهدد شبكات المعلومات بالتوقف

الفريق الأمني للشركة اكتشف الثغرة أثناء تعامله مع بعض الحالات والشكاوى التي وصلت إليه عبر منتدى «سيسكو». من المصدر

كشفت شركة «سيسكو»، كبرى شركات بناء معدات شبكات المعلومات والاتصالات عالمياً، مساء أول من أمس، عن ثغرة أمنية بعدد من طرز أجهزتها العاملة على الآلاف من شبكات المعلومات عالمياً، تتيح للمهاجمين من بعد، الوصول لهذه الشبكات وتعطيلها عن العمل وإدخالها في دوامة التشغيل المتكرر. وقالت الشركة إن «هذه الثغرة تكتشف لأول مرة، لذلك تتسبب في وقوع الهجمات الأمنية من نوع (اليوم صفر)، ولا يوجد لها حل نهائي حتى الآن». وأعلنت الشركة عن هذه الثغرة عبر الصفحة الرسمية لفريقها الاستشاري الأمني على موقعها tools.cisco.com/‏‏‏security/‏‏‏center، لتنبيه جميع الشركات والمؤسسات التي تستخدم أجهزة ومعدات «سيسكو» في تشغيل شبكات المعلومات الخاصة بها، لاتخاذ الإجراءات الوقائية اللازمة لتجنب التعرض لهجمات «اليوم صفر»، التي يمكن أن يشنها مهاجمون عن بعد باستغلال هذه الثغرة.

اكتشاف الثغرة

واكتشف فريق «سيسكو» الأمني هذه الثغرة، أثناء تعامله مع بعض الحالات والشكاوى التي وصلت إليه عبر منتدى «سيسكو»، ومن خلال قنوات التواصل مع العملاء والشركات، ومحاولة حلها. وأطلقت «سيسكو» على هذه الثغرة اسم «سيسكو سي في إي 2018 ـ 15454»، مشيرة إلى أنها ثغرة أمنية موجودة في مكون من مكونات برامجها المحملة على معدات بناء وتشغيل الشبكات، يعرف باسم «محرك فحص بروتوكول بدء الجلسة» أو «إس آي بي». ويعمل هذا المكون في اثنين من منتجاتها: الأول، هو معدات الأمن التكيّفي الافتراضي المعروفة باسم «إيه إس إيه في»، والثاني هو الإصدار السادس من برنامج «فاير فورس» للدفاع ضد الهجمات «إف تي دي».

«اليوم صفر»

وعرفت «سيسكو» هجمة «اليوم صفر»، التي تسببها هذه الثغرة، بأنها تشبه تماماً اكتشاف الأطباء لفيروس جديد كلياً، وهذا الفيروس لا علاج له، لأنه لا يعلم به أحد من الأساس، ووقتها يبدأ السباق لتطوير مضاد للفيروس قبل أن ينتشر ويتسبب بأضرار جسيمة، وكذلك الحال مع الثغرة الأمنية الجديدة المكتشفة لأول مرة.

وخلال فترة فحصها وتطوير حلول للقضاء عليها، يكون من السهل استغلالها من قبل أي مخترق أو «هاكر» قادر على اكتشافها والوصول إليها بأسرع وقت ممكن، قبل أن تقوم الشركة أو الجهة المعنية بإصلاحها، والفترة التي تنقضي منذ اكتشاف الثغرة لأول مرة وحتى التوصل لحل يطلق عليها «اليوم صفر»، وأي هجمات تقع خلال هذه الفترة تسمى هجمات «اليوم صفر». وعندما تقوم الشركة المسؤولة عن النظام، الذي تم اكتشاف ثغرات فيه، بإصدار إصلاح لهذه الثغرات، لا تعود هذه الثغرات والهجمات المترتبة عليها ضمن ثغرات وهجمات «اليوم صفر»، لأنه تم توفير حلول لإصلاحها.

الأجهزة المهددة

وحددت «سيسكو» مجموعة من أجهزتها العاملة في بناء وتشغيل شبكات المعلومات والاتصالات، لافتة إلى أنها تحتوي على هذه الثغرة ومعرضة للخطر، وتشمل هذه الأجهزة:

1 الجهاز طراز «آي إس إيه 3000»، المستخدم كجهاز للتأمين في المجالات الصناعية.

2 الجهاز طراز «إيه إس إيه 5500 ـ إكس»، الذي يعتبر أحد الأجهزة المنتمية لعائلة جدران الحماية والجدران النارية من الجيل الجديد.

3 وحدة خدمات نظام «إيه إس إيه» لمفاتيح الجهاز طراز «سيسكو كاتاليست» من سلسلة (6500)، وموجهات البيانات «راوتر» من سلسلة (7600).

4 الأجهزة الافتراضية للأمن التكيّفي «إيه إس إيه في».

5 أجهزة التأمين المحتوية على برنامج «فاير باور 2100».

6 أجهزة التأمين المحتوية على برنامج «فاير باور 4100».

7 مكون التأمين «إيه إس إيه» المحتوي على برنامج «فاير باور 9300».

8 برنامج «إف تي دي» الافتراضي للتأمين.

إجراءات الوقاية

وأكدت «سيسكو» أنه، حتى الآن، لا يوجد علاج أو حل نهائي لهذه الثغرة، ونصحت جميع الشركات والمؤسسات بالتركيز على الإجراءات الوقائية لحين التوصل إلى حل نهائي، مبينة أن الإجراءات الوقائية تشمل:

• الإجراء الأول: تعطيل بروتوكول فحص «إس آي بي»، وهو إجراء يعرفه مديرو الشبكات جيداً، ويؤدي إلى إغلاق موجة الهجوم عبر هذه الثغرة تماماً، لكنه إجراء قد لا يكون مناسباً لجميع الشركات والمؤسسات، لأنه يعطل بعض الاتصالات الأخرى، مثل حركة المرور المعروفة باسم «نات»، لذلك يتم توخي الحذر في اتخاذ هذا الإجراء.

الإجراء الثاني: حظر الجهاز المضيف المخالف، ويقصد به منع حركة المرور من أي عنوان رقمي يتم تحديده أو يشتبه في أنه مصدر للهجمة، وذلك باستخدام قائمة التحكم في الوصول «إيه سي إل» الموجودة في نظام إدارة الشبكة، وبعد تطبيق الحظر بقائمة التحكم بالوصول، يتم التأكد من مسح الاتصالات الموجودة من هذا المصدر أو العنوان الرقمي باستخدام الأمر البرمجي التالي conn clear address في وضع EXEC.

ويمكن أيضاً حظر وتجنب المضيف المخالف باستخدام الأمر البرمجي «shun» في وضع «EXEC»، وسيؤدي هذا إلى حظر كل الحزم من بروتوكول العنوان الرقمي الخاص بالمصدر دون الحاجة إلى تغيير في التكوين. ونبهت «سيسكو» إلى أن هذا الإجراء والأوامر المنفذة فيه، لا تستمر في العمل في حالة إعادة تشغيل الأجهزة، ويتعين تكرارها مرة أخرة بعد إعادة التشغيل.

• الإجراء الثالث: تصفية العنوان المرسل من عنوان رقمي صفري أو على هيئة «0.0.0.0»، حيث تمت ملاحظة أن حركة المرور المخالفة التي تستغل هذه الثغرة، تستخدم عنواناً رقمياً من النمط الصفري، ويؤدي وضع هذا العنوان الصفري على قائمة التصفية إلى منع الهجمة واستغلال الثغرة القائمة في تعطيل الشبكة.

• الإجراء الرابع: يمكن تخفيف هذه المشكلة بتفعيل ما يعرف بـ«حد السعر» على حركة المرور عبر الشبكة، وذلك باستخدام ما يعرف بـ«إطار عمل السياسة النمطية إم بي إف».

وقالت الشركة إن هذا الإجراء يتطلب مساعدة من «سيسكو» في بعض الأحيان، ويمكن لمن يريد تنفيذه التواصل مع مركز خدمة «سيسكو تاك»، للحصول على المساعدة.

«بروتوكول بدء الجلسة»

أكدت شركة «سيسكو» أن الثغرة تسمح للمهاجم من بعد بالوصول بطريقة غير مصرح بها إلى الأجهزة التي تعمل بمحرك «فحص بروتوكول بدء الجلسة»، والتأثير في هذه الأجهزة، لجعلها تقوم بالتوقف وإعادة تشغيل نفسها بصورة متكررة، أو توجيه عبء وهمي لوحدة التشغيل المركزية الخاصة بها، ما ينتج عنه تجميدها وإيقافها عن العمل.

الثغرة تسمح بالوصول للأجهزة وإدخالها دوامة «التشغيل المتكرر».

 

طباعة