اقدام سیسکو جهت رفع مشکل DoS در Wireless LAN Controller

0
347
Wireless LAN Controller - WAC

سیستم‌های سیسکو، Patchهایی را جهت رفع مشکل DoS در نرم‌افزار کنترل‌کننده بی‌سیم LAN یا به عبارتی (Wireless LAN Controller (WLC ، نرم‌افزار (Cisco Adaptive Security Appliance (ASA و پروتکل Secure Real-Time Transport یا SRTP ارائه می‌نماید که در بسیاری از محصولات به کار برده می‌شوند.

نرم‌افزار Cisco WLC شامل سه زمینه آسیب‌پذیری در DoS است که یکی از آنها بسیار مهم در نظر گرفته می‌شود و ممکن است توسط یک مهاجم غیر‌مجاز و خصوصا از طریق درخواست HTTP ارسال شده به دستگاه، مورد سوء‌استفاده قرار گیرد. این مساله باعث بروز شرایط Buffer Overfolw می‌گردد که علاوه بر بار‌گذاری مجدد، ممکن است امکان اجرای کد دلخواه بر روی دستگاه را فراهم نماید.

دومین آسیب‌پذیری که از اهمیت بالایی نیز برخوردار است، ناشی از این موضوع است که نرم‌افزار Cisco WLC چگونه می‌تواند ترافیک Bonjour را کنترل نموده و به همان شیوه ی HTTP به کار رود تا موجب بارگذاری مجدد دستگاه گردد.

سومین آسیب‌پذیری DoS، در نرم‌افزار Cisco AireOS ارائه گردید که بر روی برخی تجهیزات کنترل‌‌کننده‌ی Wireless LAN شرکت ها اجرا شده است و ممکن است ازسوی هکرهای غیرمجاز، در فرآیند دسترسی به یک  URL که به طور کلی تحت دسترسی و پشتیبانی دستگاه نیست، مورد سوء‌استفاده قرار گیرد.

نرم‌افزاری که در Firewall نسل بعدی سری ۵۵۰۰-X سیسکو، ماژول سرویس‌های ASA برای سوئیچ‌های سری ۶۵۰۰ سیسکو، روترهای سری ۷۶۰۰ سیسکو و Applianceهای Adaptive Security Virtual یا ASAv به کار می‌رود، به دلیل اعتبار ناکافی Packetهای DHCPv6 دارای نقص می‌باشد.

سیسکو اعلام کرد که این آسیب‌پذیری، صرفا بر نرم‌افزار ASA سیسکو، طی شرایطی که در آن ویژگی DHCPv6 تنظیم شده است و فقط با ترافیک IPv6 آغاز شود، تاثیر می‌گذارد.

در نهایت آسیب‌پذیری DoS در libSRTP که خصوصا با Packetهای SRTP مورد سوء‌استفاده قرار می‌گیرد، از طریق به‌روز‌رسانی نرم‌افزار برای محصولات مختلفی که از برخی ویژگی‌های کتابخانه استفاده می‌کنند، برطرف گردید. فهرست محصولات آسیب‌دیده طولانی است اما Cisco WebEx Meetings Server، Cisco Jabber، نرم افزار Cisco Adaptive Security Appliance، نرم‌افزار Cisco IOs XE و بسیاری از تجهیزات ارتباطات یکپارچه (Unified Communication) و تجهیزات Voice سیسکو را در‌برمی‌گیرد.

بدون دیدگاه

دیدگاهتان را بنویسید

*