یک آسیب‌پذیری جدی در پیاده‌سازی Cisco Identity Services Engine (ISE) در خدمات ابری Amazon Web Services (AWS)، Microsoft Azure و Oracle Cloud Infrastructure (OCI) شناسایی شده است. این آسیب‌پذیری به یک مهاجم غیرمعتبر و از راه دور این امکان را می‌دهد که به داده‌های حساس دسترسی پیدا کرده، عملیات اداری محدود را اجرا کند، تنظیمات سیستم را تغییر دهد یا خدمات را در سیستم‌های آسیب‌دیده مختل کند.

این مشکل ناشی از تولید نادرست اعتبارنامه‌ها هنگام پیاده‌سازی Cisco ISE در پلتفرم‌های ابری است و منجر به اشتراک‌گذاری اعتبارنامه‌های مشابه بین پیاده‌سازی‌های مختلف Cisco ISE می‌شود. این اعتبارنامه‌ها در صورتی که نسخه نرم‌افزار و پلتفرم ابری یکسان باشند، بین چندین پیاده‌سازی Cisco ISE مشترک هستند.

مهاجم می‌تواند با استخراج اعتبارنامه‌های کاربری از Cisco ISE که در ابر مستقر شده است، از آن‌ها برای دسترسی به Cisco ISE در محیط‌های ابری دیگر از طریق پورت‌های ناامن استفاده کند. در صورت موفقیت، مهاجم قادر خواهد بود به داده‌های حساس دسترسی پیدا کرده، عملیات اداری محدود را اجرا کند، تنظیمات سیستم را تغییر دهد یا خدمات را مختل کند.

نکته: اگر گره اصلی مدیریت (Primary Administration node) در ابر مستقر شده باشد، Cisco ISE تحت تأثیر این آسیب‌پذیری قرار دارد. در صورتی که این گره به‌صورت محلی (on-premises) باشد، تحت تأثیر قرار نمی‌گیرد. کاربران این نرم‌افزار به شدت توصیه می‌شوند که اقدامات لازم را برای محافظت از سیستم‌های خود انجام دهند.

نحوه رفع آسیب‌پذیری نرم‌افزاری

Cisco به تازگی به‌روزرسانی‌های رایگان نرم‌افزاری را منتشر کرده است که آسیب‌پذیری‌های ذکر شده در این مشاوره را برطرف می‌کند. مشتریانی که دارای قراردادهای خدماتی هستند که به آن‌ها حق دریافت به‌روزرسانی‌های منظم نرم‌افزاری را می‌دهد، باید اصلاحات امنیتی را از طریق کانال‌های به‌روزرسانی معمول خود دریافت کنند.

مراحل برای دریافت به‌روزرسانی:

1. بررسی حقایق مجوز: مشتریان تنها می‌توانند نرم‌افزاری را نصب کنند که برای آن مجوز خریداری کرده‌اند. با نصب، دانلود یا استفاده از به‌روزرسانی‌های نرم‌افزاری، مشتریان موافقت می‌کنند که شرایط مجوز نرم‌افزار Cisco را رعایت کنند. شرایط مجوز نرم‌افزار

2. دریافت به‌روزرسانی‌های امنیتی: به‌روزرسانی‌های رایگان امنیتی شامل مجوز جدید نرم‌افزار یا مجموعه‌های ویژگی اضافی نمی‌شود.

3. صفحه پشتیبانی و دانلود Cisco: برای اطلاعات مربوط به مجوز و دانلودها، می‌توانید به صفحه پشتیبانی و دانلود Cisco مراجعه کنید.

4. مشاوره با مشاوره‌های امنیتی: مشتریان باید به‌طور منظم مشاوره‌های مربوط به محصولات Cisco را بررسی کنند تا از خطرات و راه‌حل‌های کامل به‌روزرسانی مطلع شوند.

5. بررسی پشتیبانی سخت‌افزاری: قبل از به‌روزرسانی، اطمینان حاصل کنید که دستگاه‌ها دارای حافظه کافی هستند و پیکربندی‌های سخت‌افزاری و نرم‌افزاری فعلی به درستی توسط نسخه جدید پشتیبانی می‌شوند.

مشتریان بدون قرارداد خدمات

مشتریانی که مستقیماً از Cisco خریداری کرده‌اند اما قرارداد خدمات ندارند، باید با Cisco TAC تماس بگیرند تا به‌روزرسانی‌ها را دریافت کنند. همچنین، مشتریانی که از فروشندگان ثالث خرید کرده‌اند و موفق به دریافت نرم‌افزار اصلاح شده نشده‌اند، باید با Cisco TAC تماس بگیرند. لطفاً شماره سریال محصول را آماده داشته باشید و URL این مشاوره را به عنوان مدرکی برای حق دریافت به‌روزرسانی رایگان ارائه دهید.