الملخص

  • سجل عام مؤكد:كشفت Cisco عن استغلال نشط لميزة واجهة ويب برنامج IOS XE، وتبين لاحقًا أن المهاجمين استغلوا مشكلتين غير معروفتين سابقًا: CVE-2023-20198 للوصول الأولي وإنشاء حساب بصلاحية 15، ثم CVE-2023-20273 لرفع الصلاحيات إلى الجذر وكتابة غرسة في نظام الملفات. (إعلان Cisco الأمني)
  • توجيه حكومي:قالت CISA إن الثغرتين أثرتا على واجهة ويب IOS XE ويمكن أن تسمحا لممثل بعيد غير مصرح له بالسيطرة على نظام متأثر؛ وحثت CISA المؤسسات على تعطيل ميزة خادم HTTP على الأنظمة المعرضة للإنترنت، والبحث عن النشاط الضار، والترقية إلى إصدارات برمجية مصلحة حال توفرها. (إرشادات CISA)
  • مشكلة طائرة الإدارة:يدعم السجل العام فشلًا في سطح التحكم يتضمن إدارة ويب معرضة وإنشاء حسابات وحقن أوامر وزرع غرسات. ولا يدعم ادعاءً عامًا بأن كل جهاز IOS XE تأثر، أو أن كل جهاز معرض تم اختراقه، أو أن Cisco وحدها كانت تتحكم في تعرض كل عميل للإنترنت.
  • التقييم:تحكم المهاجمون في الاستغلال. وتحكمت Cisco في كود المنتج ومحتوى الإعلان وتوصيل التصحيح وإرشادات التصلب ودعم الكشف. وتحكم العملاء ومزودو الخدمات المدارة والهيئات العامة في التعرض والجرد والتكوين والتجزئة والمراقبة وانضباط الاسترداد. حول الحدث مسألة "هل واجهة الويب ممكنة على الإنترنت؟" إلى سؤال استمرارية على مستوى مجلس الإدارة.

كان جهاز الشبكة نقطة التحكم، وليس مجرد خادم آخر

حادثة واجهة ويب Cisco IOS XE مهمة لأن الموجه أو المفتاح أو وحدة التحكم اللاسلكية ليس مجرد حمل عمل. إنه نقطة تحكم لأحمال العمل الأخرى. قد يكون جهاز الشبكة المخترق في مسار المصادقة وتوجيه حركة المرور والتجزئة واتصال الفروع والوصول اللاسلكي والصوت والمراقبة والاستجابة للحوادث نفسها. عندما يصل اختراق طائرة الإدارة إلى مثل هذا الجهاز، فإن سؤال الاسترداد ليس فقط ما إذا تم تصحيح CVE. بل ما إذا كان لا يزال يمكن الوثوق بالجهاز ليصف وينفذ ويحمي الشبكة من حوله.

وضع إعلان Cisco الحدث في ميزة واجهة ويب برنامج IOS XE وأوضح أن سلسلة الهجوم تضمنت استغلالًا نشطًا. استخدم المهاجم أولاً CVE-2023-20198 للحصول على وصول أولي وإصدار أمر بصلاحية 15 لإنشاء زوج من اسم مستخدم وكلمة مرور محليين. ثم استغل المهاجم مكونًا آخر من ميزة واجهة الويب، CVE-2023-20273، باستخدام المستخدم المحلي الجديد لرفع الصلاحية إلى الجذر وكتابة الغرسة في نظام الملفات. منحت Cisco درجة CVSS 10.0 للثغرة CVE-2023-20198 و 7.2 للثغرة CVE-2023-20273. (إعلان Cisco الأمني)

ترجمت إرشادات CISA العامة نفس الحقائق إلى إلحاح تشغيلي. وصفت CISA استغلالًا نشطًا واسع النطاق للثغرتين CVE-2023-20198 و CVE-2023-20273 المؤثرتين على واجهة ويب برنامج Cisco IOS XE، وقالت إن ممثلًا بعيدًا غير مصرح له يمكنه استغلال الثغرتين للسيطرة على نظام متأثر، وطلبت من المؤسسات التي تشغل واجهة ويب IOS XE تنفيذ تخفيفات Cisco، بما في ذلك تعطيل ميزة خادم HTTP على الأنظمة المعرضة للإنترنت، والبحث عن النشاط الضار. (إرشادات CISA)

جانب طائرة الإدارة هو الفرق بين قصة ثغرة وقصة مساءلة. قد يكون عيب تطبيقي في خادم ويب عادي خطيرًا؛ أما العيب في واجهة إدارة للأجهزة التي توجه الحزم وتفرض السياسات فهو خطر على مستوى التحكم. لا يكتفي المهاجم بسرقة بيانات من تطبيق واحد. قد يكتسب المهاجم موقعًا يمكنه من مراقبة أو تغيير أو استمرار أو تحضير وصول إضافي ضد آليات الشبكة الموثوقة.

هذا لا يعني أن كل جهاز متأثر استُخدم لاعتراض حركة المرور أو لأعمال تخريبية. السجل العام الأساسي لا يدعم مثل هذا الادعاء الشامل. وثقت Cisco و CISA إنشاء الحسابات ورفع الصلاحيات إلى الجذر وكتابة الغرسة كنمط استغلال. السؤال المحاسبي هو ما الذي يمكن أن يعنيه هذا الوصول وما هي الأدلة المطلوبة قبل أن يتمكن المشغل من معاملة الجهاز على أنه جدير بالثقة مرة أخرى.

بالنسبة للعديد من المؤسسات، خاصة الشركات الصغيرة والمتوسطة والهيئات العامة التي لديها فرق شبكات محدودة، فإن واجهات الإدارة هي وسائل راحة عملية تاريخيًا. قد تجعل إدارة واجهة الويب التكوين عن بُعد أسهل. قد يستخدمها مزودو الخدمات المدارة لدعم العملاء. قد تتركها فرق الفروع قابلة للوصول بعد النشر. يمكن أن يصبح التحكم الذي يبدأ كوسيلة راحة سطح هجوم معرضًا للإنترنت إذا لم يتم جرد التعرض وتقييده باستمرار.

كشفت Cisco عن السلسلة بينما كانت قصة التصحيح لا تزال تتحرك

التسلسل الزمني العام مهم لأن الاستغلال والتخفيف والإصدارات المصلحة لم تصل كحزمة واحدة مرتبة. حذرت Cisco مبدئيًا من الاستغلال النشط وأوصت بخطوات دفاعية، بما في ذلك تعطيل ميزة خادم HTTP على الأنظمة المعرضة للإنترنت. أضافت تحديثات الإعلان اللاحقة CVE الثاني ومعلومات الإصدارات المصلحة ومدقق البرمجيات. تم تحديث صفحة CISA بتوفر الإصدارات المصلحة للعديد من قطارات IOS XE وربطت المشغلين بإعلان Cisco ووثائق التصحيح. (إعلان Cisco,إرشادات CISA)

خلق هذا التسلسل نافذة مساءلة عملية. عندما يكون الاستغلال نشطًا ولا تزال مصفوفة التصحيح الكاملة قيد التجميع، ينتقل عبء التخفيف بشكل حاد إلى تقليل التعرض والكشف. لا يمكن للمشغلين انتظار خطة تصحيح مثالية إذا كانت واجهة الإدارة قابلة للوصول. يجب عليهم تعطيل أو تقييد ميزة خادم HTTP/HTTPS على الأنظمة المعرضة للإنترنت، والبحث عن المستخدمين المنشأين حديثًا أو غير المبررين، ومراجعة المؤشرات، والحفاظ على الأدلة، وتقرير ما إذا كان الجهاز مخترقًا محتملاً.

أعطت وثيقة توفر إصلاح البرمجيات من Cisco لاحقًا للمشغلين طريقة أكثر واقعية لربط معرف الخطأ CSCwh87343 بإصدارات IOS XE المصلحة. أدرج تحديث CISA في 1 نوفمبر إصدارات مصلحة لقطارات الإصدارات بما في ذلك 17.9 و 17.6 و 17.3 و 16.12 لبعض أجهزة Catalyst 3650 و 3850. الفرق مهم: خلال نافذة الاستغلال المبكرة، كان أهم تحكم يمكن أن يكون "إغلاق تعرض طائرة الإدارة الآن." بعد وجود الإصدارات المصلحة، يصبح التحكم "الترقية والتحقق والصيد والاسترداد." (توفر إصلاح Cisco,مدقق برمجيات Cisco)

توفر إدخالات قاعدة بيانات الثغرات الوطنية وسجلات CVE نقاط ارتكاز عامة إضافية للثغرتين. تشير صفحة NVD للثغرة CVE-2023-20198 إلى إعلان Cisco وتصف سياق الاستغلال النشط. تحتفظ سجلات CVE.org بمعرفات الثغرات كجزء من سجل الثغرات العام. (NVD CVE-2023-20198,NVD CVE-2023-20273,سجل CVE CVE-2023-20198,سجل CVE CVE-2023-20273)

تُظهر السلسلة أيضًا لماذا CVSS وحده غير كاف للحوكمة. تشير درجة 10.0 على CVE-2023-20198 إلى خطورة تقنية، لكن خطر الأعمال يختلف حسب التعرض والدور وقدرة الاسترداد. يخلق موجه فرع معرض للإنترنت مع تسجيل ضعيف وعدم وجود صورة نظيفة معروفة مشكلة تشغيلية مختلفة عن جهاز مختبر داخلي خلف ضوابط VPN الإدارية. تخبر الخطورة القيادة بالانتباه. وتخبر أدلة الجرد والتعرض القيادة بما يجب فعله أولاً.

كان التعرض للإنترنت هو مضاعف العواقب

كان المتغير الأكثر أهمية الذي يتحكم فيه المشغل هو ما إذا كان سطح إدارة واجهة الويب قابلاً للوصول من الإنترنت. تركزت لغة التخفيف من Cisco و CISA على تعطيل ميزة خادم HTTP على الأنظمة المعرضة للإنترنت. تتسق إرشادات التصلب من Cisco مع هذا التحكم: تنص مواد تصلب IOS و IOS XE من Cisco على أنه يمكن تعطيل خادم HTTP باستخدامno ip http serverويمكن تعطيل خادم HTTP الآمن باستخدامno ip http secure-server. (دليل تصلب برنامج Cisco IOS XE,دليل Cisco لتصلب أجهزة Cisco IOS)

هذا ليس مبدأ أمنيًا جديدًا. يجب ألا تكون واجهات الإدارة معرضة للإنترنت على نطاق واسع ما لم يكن هناك سبب قوي ومراقب ومقيد وموثق. وجه توجيه العمليات الملزم BOD 23-02 من CISA بشأن واجهات الإدارة المعرضة للإنترنت الوكالات المدنية الفيدرالية لتقليل المخاطر من واجهات الإدارة المعرضة، وتوصياته لها صلة أوسع خارج الحدود الفيدرالية. (CISA BOD 23-02)

المشكلة هي أن الشبكات الحقيقية تتراكم الاستثناءات. يحتفظ جهاز تم نشره أثناء اندماج بقواعد وصول قديمة. يفتح مزود خدمة مدارة مسار إدارة لاستكشاف الأخطاء العاجل ولا يغلقه أبدًا. يرث مكتب فرعي قالبًا مع تمكين HTTP. يتغير عنوان IP عام ملكيته. تصبح قاعدة جدار حماية مخصصة لترحيل مؤقت دائمة. لا تكون واجهة الويب معرضة بالضرورة لأن مهندسًا واحدًا اتخذ قرارًا متهورًا. يمكن أن تكون معرضة لأن جرد الأصول ومراقبة التغيير وتسليم الخدمة المدارة فشلوا في مواكبة تاريخ الشبكة.

هذا التاريخ مهم للوم. تحكمت Cisco في وجود ثغرة المنتج ومدى سرعة تشخيصها وإصلاحها. تحكم العملاء في ما إذا كان سطح الإدارة المعرض قابلاً للوصول. تحكم مزودو الخدمات المدارة في العديد من تكوينات العملاء. تحكمت الوكالات العامة في قوائم جردها وعمليات التعطيل الطارئة. استغل المهاجمون الأنظمة القابلة للوصول. تتبع المساءلة نقاط التحكم هذه بدلاً من الانهيار في جملة واحدة.

بالنسبة للشركات الصغيرة والمتوسطة، تكون مشكلة التعرض صعبة بشكل خاص. قد تعتمد منظمة صغيرة على مزود خدمة مدارة لتكوين أجهزة الشبكة وقد لا تعرف ما إذا كانت واجهة ويب IOS XE ممكنة أو معرضة أو مقيدة داخليًا أو غير مستخدمة. قد لا تعرف أي قطار إصدار تشغله، أو ما إذا كانت البرمجيات المصلحة متاحة، أو ما إذا ظهر مستخدم محلي غير مبرر. عندما تقول CISA بتعطيل ميزة خادم HTTP على الأنظمة المعرضة للإنترنت والبحث عن النشاط الضار، قد تحتاج الشركة الصغيرة أو المتوسطة إلى مزودها لترجمة ذلك إلى فحوصات أجهزة وأدلة محددة.

لهذا السبب لا تتعلق الحادثة فقط بـ Cisco والمؤسسات الكبيرة. إنها اختبار لاقتصاد دعم الشبكات المدارة. إذا كان بإمكان مزودي الخدمات المدارة مركزية إدارة شبكات العملاء، فيجب عليهم أيضًا مركزية جرد التعرض الدقيق والتخفيف السريع وإثبات الاسترداد. لا يمكن للعميل قبول "قمنا بتصحيحه" ككافٍ إذا كان الجهاز قد يحتوي على غرسة على مستوى الجذر قبل التصحيح.

غيرت الغرسة التصحيح إلى استرداد

تتضمن الحقائق العامة كتابة الغرسة، وهذا يغير العمل. عندما تسمح الثغرة فقط بإنشاء حساب غير مصرح به، قد تكون إزالة الحساب والتصحيح كافيين في بعض الحالات. عندما تتضمن السلسلة رفع الصلاحيات إلى الجذر وزرع غرسة مكتوبة في نظام الملفات، يجب على المشغلين معاملة الأجهزة المتأثرة كأنظمة مخترقة محتملة تتطلب فرزًا جنائيًا وتحققًا من الاسترداد.

توجه إرشادات CISA المؤسسات إلى البحث عن النشاط الضار وتشير إلى طرق كشف Cisco Talos. مدونة Cisco Talos هي مصدر كشف عام رئيسي حتى عندما يكون الوصول الآلي إلى الصفحة مقيدًا؛ اقتبستها CISA للنصيحة العملية بأن المؤسسات يجب أن تبحث عن مستخدمين غير مبررين أو منشأين حديثًا على الأجهزة كدليل على نشاط ضار محتمل. (مدونة Cisco Talos,إرشادات CISA)

يمكن أن تبدو عبارة "مستخدم منشأ حديثًا" عادية. على جهاز الشبكة، ليست كذلك. قد ينجو مستخدم محلي بصلاحية تم إنشاؤه من خلال الاستغلال من المراجعة العابرة، أو يعاد استخدامه للوصول لاحقًا، أو يقدم دليلاً على العبث. يثير تنفيذ الأوامر على مستوى الجذر أسئلة أعمق حول سلامة التكوين، وحالة نظام الملفات، وصور الإقلاع، والاستمرارية، والسجلات، وما إذا كان يمكن الوثوق في القياس عن بُعد للجهاز نفسه.

يغلق التصحيح مسار الثغرة المعروف. لا يثبت تلقائيًا أن الجهاز المخترق ليس لديه غرسة متبقية، أو حساب غير مصرح به، أو تكوين معدل، أو استمرارية مخفية. تحتاج أدلة الاسترداد بالتالي إلى عدة طبقات: تحديد ما إذا كانت واجهة الويب ممكنة؛ تحديد ما إذا كانت قابلة للوصول من الإنترنت؛ التحقق من المستخدمين المشبوهين والمؤشرات؛ جمع السجلات والحفاظ عليها حيثما أمكن؛ إزالة الحسابات غير المصرح بها؛ الترقية إلى برمجيات مصلحة؛ مقارنة التكوينات الجارية وتكوينات بدء التشغيل؛ التحقق من سلامة الصورة؛ إعادة البناء أو إعادة التصوير حيث يشتبه في الاختراق؛ والمراقبة بعد العودة إلى الخدمة.

توجيهات معالجة الحوادث من NIST مفيدة هنا لأنها تعامل الاسترداد كمرحلة وليس كخانة اختيار. الكشف والاحتواء والاستئصال والاسترداد مرتبطة ولكن ليست متطابقة. يمكن تصحيح جهاز بينما لا تزال الأدلة تجمع. يمكن إعادة جهاز إلى الخدمة بينما لا تزال المراقبة مرتفعة. يمكن أن يكون الجهاز "مُصلحًا" من وجهة نظر إدارة الثغرات لكنه لا يزال غير محلول من وجهة نظر الاستجابة للحوادث. (NIST SP 800-61 Rev. 2)

يجب أن يشكل هذا التمييز تقارير مجلس الإدارة. قد يكون تقرير يقول "جميع الأجهزة تم تصحيحها" صحيحًا تقنيًا ولا يزال غير مكتمل. تحتاج القيادة إلى معرفة كم عدد الأجهزة التي كانت الميزة المعرضة ممكنة عليها، وكم كانت معرضة للإنترنت، وكم أظهرت مؤشرات اختراق، وكم تم إعادة بنائها، وكم كان لديها مستخدمون غير مصرح بهم، وما إذا كانت أي سجلات غير متاحة، وما إذا كان عملاء الخدمات المدارة قد تلقوا أدلة. هذه مقاييس استرداد، وليست فقط مقاييس تصحيح.

أدلة الكشف كانت غير متساوية حسب التصميم

غالبًا ما تعامل أجهزة الشبكة كمصادر للحقيقة. إنها تنتج سجلات وتفرض قوائم التحكم في الوصول وتوجه حركة المرور وتبلغ عن الحالة. في اختراق طائرة الإدارة، يضعف هذا الافتراض. إذا كان بإمكان المهاجم إنشاء مستخدمين وتنفيذ أوامر بصلاحيات مرتفعة، فقد تكون سجلات الجهاز نفسه غير مكتملة أو معدلة أو غائبة. قد يحتاج المشغل إلى أدلة خارجية: NetFlow، سجلات جدار الحماية، سجلات SIEM، نسخ التكوين الاحتياطية، سجلات الإدارة خارج النطاق، سجلات TACACS أو RADIUS، قياس الشبكة عن بُعد الشبيه بـ EDR، والمقارنة مع التكوينات الجيدة المعروفة.

هذه هي مشكلة "أدلة موارد الشبكة" في البيان. المورد المخترق ليس فقط حاملاً للأدلة؛ إنه مشكّل للأدلة. إذا كان الموجه أو المفتاح هو المكان الذي كان يجب أن تولد فيه السجلات، وكان هذا الجهاز مخترقًا، فإن جودة الأدلة تعتمد على ما إذا كانت السجلات قد تم تصديرها وحمايتها قبل الحادث. قد يكون مخزن السجلات المحلي على الجهاز مفيدًا لكنه هش. تصبح السجلات المركزية وسجلات AAA أكثر أهمية بكثير.

كتالوج الثغرات المستغلة المعروفة من CISA هو أيضًا بنية تحتية للأدلة. يمنح إدراج CVE-2023-20198 والثغرات المستغلة ذات الصلة الوكالات والمشغلين إشارة أولوية بأن المشكلة ليست نظرية. أنشأ كتالوج KEV والتوجيه العملياتي الملزم BOD 22-01 عملية فيدرالية لمعالجة الثغرات المستغلة المعروفة، وتستخدم العديد من المؤسسات الخاصة الكتالوج كإشارة فرز. (كتالوج الثغرات المستغلة المعروفة من CISA,CISA BOD 22-01)

ومع ذلك، لا يخبر إدراج KEV المشغل ما إذا كان جهازه قد تم اختراقه. يخبر المشغل أن الاستغلال معروف وأنه يجب إعطاء الأولوية للمعالجة. لا يزال على المشغل الإجابة عن أسئلة الأدلة المحلية: هل كانت الميزة قيد التشغيل؟ هل كانت قابلة للوصول؟ هل تم فحصها؟ هل تم إنشاء مستخدم؟ هل كانت الغرسة موجودة؟ هل تم تثبيت برمجيات مصلحة؟ هل تم إعادة بناء الجهاز؟ هل تم تغيير المسارات أو قوائم التحكم في الوصول أو بيانات الاعتماد النهائية؟

أدلة بيانات الاعتماد مهمة بشكل خاص. إذا أنشأ المهاجم حسابًا محليًا، فقد يكون الجهاز أيضًا لديه وصول إلى خوادم AAA، مجتمعات SNMP، أنظمة إدارة الشبكة، بيانات اعتماد الأتمتة، مستودعات النسخ الاحتياطي، أو أرشيفات التكوين. لا تقول إعلانات Cisco و CISA العامة أن كل هذه الأنظمة النهائية تم الوصول إليها. إنها تخلق سببًا عقلانيًا للتحقق مما إذا كان اختراق الجهاز المحلي يمكن أن يعرض بيانات اعتماد إدارة أوسع أو علاقات ثقة.

بالنسبة للمؤسسات التي تستخدم المصادقة المركزية، يجب أن يكون الحساب المحلي شاذًا. بالنسبة للمؤسسات التي لديها مزيج من حسابات الطوارئ المحلية و AAA الخارجي، يكون التحقيق أصعب. قد يختبئ حساب مشبوه بين حسابات كسر الزجاج المشروعة إذا كانت التسمية والتوثيق والمراجعة الدورية ضعيفة. تكافئ الحادثة بالتالي الحوكمة المملة: حسابات فريدة، تسجيل AAA، خطوط أساس للتكوين، نسخ احتياطية متكررة، أقل صلاحية، وجرد نظيف.

كان دور Cisco أوسع من كتابة تصحيح

تشمل مساءلة Cisco ثغرة المنتج، لكنها لا تنتهي عند هذا الحد. يتحكم بائع برمجيات تشغيل الشبكات في التصميم الآمن، مراجعة الكود، الوضع الافتراضي، وضوح الإعلان، توصيل التصحيح، توافق البرمجيات، إرشادات الكشف، قدرة TAC، وثائق التصلب، وقدرة العملاء على تحديد الإصدارات المتأثرة. في هذه الحادثة، كشفت Cisco عن السلسلة، وحددت ثغرتين، وقدمت توصيات، ونشرت معلومات الإصدارات المصلحة، وحافظت على إرشادات التصلب.

مصفوفة الإصلاح مهمة لأن IOS XE ليس إصدارًا واحدًا على جهاز واحد. قد تشمل الشبكات الكبيرة قطارات إصدار مختلفة، وعائلات أجهزة، وعقود دعم، وقيود تشغيلية، ونوافذ صيانة. تعليمات "صَحِّح الآن" صحيحة اتجاهيًا لكنها غير مكتملة تشغيليًا. يحتاج العملاء إلى معرفة أي الصور مصلحة، وأي SMUs موجودة، وأي القطارات لا تزال مدعومة، وأي الأجهزة تحتاج ترقيات، وما إذا كانت الترقية تخاطر بوقت تعطل. تساعد وثيقة توفر الإصلاح من Cisco ومدقق البرمجيات في هذه الترجمة. (توفر إصلاح Cisco,مدقق برمجيات Cisco)

وضوح الإعلان مهم بقدر توفر الإصلاح. أثناء الاستغلال النشط، يجب أن يخبر الإعلان المشغلين ما يجب تعطيله، وما الذي يجب البحث عنه، وما المتأثر، وما غير المتأثر، وما إذا كانت توجد حلول بديلة، ومتى تتوفر البرمجيات المصلحة، وكيفية تفسير المؤشرات. فعل إعلان Cisco أكثر من تعيين CVE؛ لقد شرح السلسلة الملاحظة من الوصول الأولي إلى إنشاء المستخدم المحلي إلى رفع الصلاحيات إلى الجذر وكتابة الغرسة. هذا هو نوع المعلومات التي تغير الاستجابة من التصحيح الروتيني إلى تقييم الاختراق.

الإعدادات الافتراضية للبائع هي سؤال عادل لكنه حذر. لا يكفي أن نسأل ما إذا كانت واجهة الويب موجودة. غالبًا ما توجد ميزات الإدارة لأسباب مشروعة. السؤال الأفضل هو ما إذا كان المنتج والتوثيق يجعلان التعرض غير الآمن صعبًا أو مرئيًا أو صاخبًا. إذا كان خادم إدارة HTTP/HTTPS ممكنًا، فهل يمكن للمشغلين رؤية ما إذا كان قابلاً للوصول من الشبكات غير الموثوقة بسهولة؟ هل القوالب والمعالجات متحيزة نحو أقل تعرض؟ هل توضح التحذيرات أن الإدارة المعرضة للإنترنت خطيرة؟ هل يظهر القياس عن بُعد التعرض للإنترنت؟ هل تساعد البرمجيات المشغلين في تعطيل خدمات الإدارة غير المستخدمة؟

تنصح وثائق التصلب من Cisco بتقليل تعرض طائرة الإدارة. هذا مفيد. لكن وثائق التصلب تتنافس مع ضغط النشر والتكوينات الموروثة والعادة التشغيلية "لقد نجحت في المرة السابقة". تطلب توقعات التصميم الآمن بشكل متزايد من البائعين جعل المسار الآمن أسهل من المسار المعرض. تجادل إرشادات التصميم الآمن من CISA بأن مصنعي التكنولوجيا يجب أن يأخذوا ملكية أكبر لنتائج أمن العملاء، وليس مجرد نشر قوائم تدقيق التصلب. (CISA التصميم الآمن)

تطبيق هذا المبدأ هنا لا يجعل Cisco مسؤولة وحدها عن كل جهاز معرض. إنه يسأل ما إذا كانت منتجات الشبكات يمكنها فعل المزيد لإظهار تعرض الإدارة، وتثبيط قابلية الوصول من الإنترنت، وتقليل الاعتماد على التصلب بعد النشر، ومساعدة المشغلين في إثبات الحالة الحالية. تحذير في دليل ليس مثل تحكم في منتج.

مساءلة العميل ومزود الخدمة المدارة لا يمكن الاستعانة بمصادر خارجية لـ Cisco

تحكم العملاء في العديد من المتغيرات التي حددت نصف قطر الانفجار. قرروا أو ورثوا ما إذا كانت واجهة الويب ممكنة، وما إذا كانت إدارة HTTP/HTTPS قابلة للوصول من الإنترنت، وما إذا كان وصول الإدارة مقيدًا بـ VPN أو شبكات مخصصة، وما إذا كانت التكوينات مدعومة بنسخ احتياطية، وما إذا كانت السجلات مركزية، وما إذا كانت حسابات المستخدمين المحليين تراجع، وما إذا كانت الأجهزة المعرضة قابلة للاكتشاف بسرعة.

تحكم مزودو الخدمات المدارة في هذه المتغيرات للعديد من العملاء. هذا يجعل دور مزود الخدمة المدارة مركزيًا. إذا كان مزود الخدمة المدارة يدير أجهزة شبكات العملاء، يجب أن يحتفظ بجرد دقيق للأجهزة، وجرد للإصدارات، وجرد لتعرض الإدارة، ونموذج AAA، وحالة النسخ الاحتياطي، وحالة التسجيل، ودليل تخفيف للطوارئ. عندما يصدر إعلان Cisco، يجب ألا يبدأ المزود بالسؤال عن أي العملاء قد تكون الميزة معرضة لديهم. يجب أن يعرف بالفعل.

يتدفق تأثير استمرارية الشركات الصغيرة والمتوسطة من هذا الاعتماد. قد تواجه شركة تصنيع صغيرة أو عيادة أو مدرسة أو بائع تجزئة محلي أو مكتب مهني اختراق جهاز الشبكة كوقت تعطل أو عدم يقين أو نفقات متعاقد طارئ. قد لا تمتلك الخبرة الداخلية لتقييم قطارات إصدار IOS XE أو مؤشرات الاختراق. إذا لم يتمكن مزود الخدمة المدارة الخاص بها من تقديم الأدلة، فإن العميل عالق بين الثقة والآراء الثانية المكلفة.

يمكن أن يصبح عدم اليقين هذا انقطاعًا في الأعمال حتى قبل حدوث أي تلاعب خبيث بحركة المرور. قد يحتاج العميل إلى جدولة صيانة طارئة، واستبدال الأجهزة، وتدوير بيانات الاعتماد، ومراجعة السجلات، وإخطار القيادة، وإيقاف الإدارة عن بُعد مؤقتًا، أو طمأنة المدققين. بالنسبة للشركات الصغيرة والمتوسطة، يمكن أن تكون هذه التكاليف كبيرة مقارنة بقدرة الموظفين. حقيقة أن المنتج المعرض هو من فئة المؤسسات لا تعني أن كل مشغل متأثر لديه قدرة استجابة من فئة المؤسسات.

يجب أن تعكس العقود هذا الواقع. يجب أن يذكر عقد الشبكة المدارة من يحتفظ بجرد التعرض، ومن يتلقى إعلانات البائع، ومن يمكنه تعطيل الإدارة المعرضة للإنترنت، ومن يوافق على التغييرات الطارئة، ومن يحافظ على الأدلة، ومن يبلغ المؤشرات للعميل، ومن يدفع مقابل إعادة البناء الطارئة، وما هي الأدلة التي يتلقاها العميل بعد الإغلاق. بدون هذه الشروط، تصبح حادثة مثل IOS XE تدافعًا بين البائع ومزود الخدمة المدارة والعميل وشركة التأمين والمدقق.

الوكالات العامة لديها واجب مواز. غالبًا ما تشغل شبكات موزعة بأجهزة قديمة وقيود مشتريات ونوافذ صيانة. قد تواجه أيضًا عواقب خدمة عامة إذا تدهور التوجيه أو اللاسلكي أو اتصالات الطوارئ أو شبكات المدارس أو الخدمات البلدية. لا تحكم التوجيهات العملياتية الملزمة الفيدرالية تلقائيًا كل كيان محلي أو عام أجنبي، لكن المبادئ قابلة للنقل: اعرف واجهات الإدارة المعرضة، أعط الأولوية للثغرات المستغلة المعروفة، ووثق المعالجة. (CISA BOD 23-02,كتالوج KEV من CISA)

أظهرت الإعلانات الدولية اعتماداً مشتركاً

كانت حادثة IOS XE عالمية لأن أجهزة Cisco عالمية. أصدرت وكالات الأمن السيبراني الحكومية خارج الولايات المتحدة أو عممت تحذيرات. حذر مركز الأمن السيبراني الأسترالي من أن استغلال الثغرة يمكن أن يسمح لمستخدم بعيد غير مصرح له بإنشاء حساب عالي الصلاحية على النظام المعرض والسيطرة عليه. نشر مركز الأمن السيبراني الكندي تحديثات تتابع إعلان Cisco وتوفر الإصلاح. (تنبيه مركز الأمن السيبراني الأسترالي,إعلان مركز الأمن السيبراني الكندي)

هذه الإعلانات مهمة لأن ثغرات أجهزة الشبكات تعبر الحدود الوطنية أسرع من أنظمة المشتريات. قد تشغل شركة متعددة الجنسيات أو مزود خدمة إنترنت إقليمي أو شبكة مدرسية أو وكالة مدينة IOS XE بطرق مختلفة، بقطارات إصدار وعقود دعم مختلفة. يصبح نفس الإعلان مشكلة تشغيلية مختلفة في كل بيئة.

التضخيم الدولي يقلل أيضًا من فرصة رفض حادثة كإشعار عميل خاص لبائع واحد. عندما تخبر وكالات وطنية متعددة المشغلين بالتصرف، تصبح القضية جزءًا من نظافة البنية التحتية العامة. لذلك عواقب مساءلة. لا يمكن لمجالس الإدارة والمديرين التنفيذيين العامين القول بشكل معقول إن الخطر كان غامضًا بعد أن نشرت Cisco و CISA ووكالات سيبرانية أخرى إرشادات.

في نفس الوقت، لا تحل الإعلانات العالمية التنفيذ المحلي. لا يمكن لصفحة وكالة تسجيل الدخول إلى موجه عميل، أو تعطيل واجهة ويب، أو مراجعة المستخدمين المحليين، أو تثبيت برمجيات مصلحة، أو إعادة بناء جهاز مخترق. يمكنها فقط رفع الإشارة. الميل الأخير لا يزال يعود لمالكي الأصول ومزوديهم.

لذلك يوضح الحدث عدم تناسق مألوف: التحذيرات عالمية، لكن الاسترداد محلي. يمكن لـ Cisco نشر إصلاح. يمكن لـ CISA نشر إرشادات. يمكن للوكالات الوطنية التضخيم. يمكن للباحثين مسح الإنترنت. لكن منطقة مدرسية أو شركة صغيرة ومتوسطة أو سلطة عامة لا يزال عليها معرفة الأجهزة التي تمتلكها، ومن يديرها، وكيفية إغلاق التعرض، وما هي نافذة الانقطاع المقبولة، وما هو إثبات التنظيف الذي سيرضي قرار المخاطر الخاص بها.

سجل الاسترداد النظيف الذي كان يجب على المشغلين الاحتفاظ به

يجب أن يكون سجل الاسترداد القابل للدفاع لحدث واجهة ويب IOS XE أكثر واقعية من "تم التصحيح". يجب أن يبدأ بالجرد: جميع أجهزة IOS XE، والطرازات، وقطارات الإصدار، والأدوار، وعناوين الإدارة، ومسارات وصول الإدارة، وحالة واجهة الويب، وحالة التعرض للإنترنت، والمالك المسؤول. يجب أن يوثق بعد ذلك التخفيف: خادم HTTP و HTTPS معطل أو مقيد حيثما كان مناسبًا، تطبيق التحكم في الوصول، تحديد البرمجيات المصلحة، جدولة نافذة الصيانة، والموافقة على الاستثناءات الطارئة.

يأتي بعد ذلك تقييم الاختراق. يجب على المشغل تسجيل ما إذا كان كل جهاز أظهر مستخدمين غير مبررين أو منشأين حديثًا، وما إذا كانت المؤشرات المعروفة موجودة، وما إذا أظهرت السجلات وصولاً مريبًا، وما إذا كانت سجلات AAA متوافقة مع الإدارة المتوقعة، وما إذا بدت تغييرات التكوين غير مصرح بها، وما إذا كان يجب إعادة بناء الجهاز. يجب أن يميز السجل "غير معرض"، و "معرض لكن غير معرض للإنترنت"، و "معرض للإنترنت بدون مؤشرات موجودة"، و "معرض للإنترنت مع مؤشرات"، و "مخترق مؤكد".

ثم يأتي الاستعادة. نسخة البرمجيات المصلحة، مصدر الصورة، المجموع الاختباري أو التحقق من السلامة، مقارنة النسخ الاحتياطي للتكوين، إزالة المستخدمين غير المصرح بهم، تدوير بيانات الاعتماد، مراجعة AAA، مراجعة SNMP وبيانات اعتماد الأتمتة، التحقق من التسجيل، والمراقبة بعد التغيير يجب أن تسجل. بالنسبة للأجهزة عالية القيمة، قد تكون إعادة البناء من وسائط موثوقة أكثر مصداقية من التنظيف في المكان عندما يشتبه في الاختراق.

أخيرًا، يجب أن يكون هناك تواصل مع العملاء والقيادة. يحتاج المدراء التنفيذيون إلى ملخص يربط الحالة التقنية بمخاطر الأعمال. يحتاج عملاء مزودي الخدمات المدارة إلى أدلة محددة للجهاز، وليس مجرد رابط إعلان عام. تحتاج الوكالات العامة إلى سجل مناسب للمدققين وشركات التأمين وهيئات الرقابة. الفرق بين الاسترداد الجيد والاسترداد الضعيف غالبًا ما يكون الأدلة المحتفظ بها بعد مرور الطوارئ.

تعزز إرشادات إدارة التصحيح من NIST النقطة بأن معالجة الثغرات هي دورة حياة مدارة بدلاً من إجراء واحد. تحتاج المؤسسات إلى قوائم جرد وتحديد الأولويات واختبار ونشر وتحقق. في حادثة جهاز شبكة مستغل بنشاط، تنضغط دورة الحياة هذه لكنها لا تختفي. (NIST SP 800-40 Rev. 4)

تجادل الحادثة أيضًا لصالح اختبارات التعرض المتكررة. كان من شأن فحص ربع سنوي أو مستمر لخدمات الإدارة المعرضة للإنترنت أن يقلل المفاجأة. كان نظام إدارة التكوين الذي يضع علامة علىip http serverأوip http secure-serverعلى الأجهزة المعرضة للإنترنت أن يقلل وقت الاستجابة. كانت AAA المركزية ستجعل اكتشاف المستخدمين المحليين غير المتوقعين أسهل. هذه ليست ضوابط غريبة. إنها الضوابط الهادئة التي تصبح صاخبة فقط عند غيابها.

يستحق مصدر التكوين سطرًا خاصًا به في هذا السجل. يمكن لجهاز الشبكة أن يجتاز فحص الثغرات ولا يزال يعمل بتكوين أصله غير مفهوم جيدًا. يجب أن يعرف المشغلون ما إذا كان التكوين الجاري جاء من قالب قياسي، أو تغيير طارئ، أو استثناء مزود خدمة مدارة، أو شبكة استحواذ موروثة، أو إصلاح لمرة واحدة من مسؤول محلي. في حالة IOS XE، يمكن أن يشرح المصدر لماذا كانت واجهة الويب ممكنة وقابلة للوصول. بدون هذا السياق، قد تغلق المعالجة التعرض الفوري بينما تترك المؤسسة عرضة لعودة نفس النمط من خلال دفع القالب التالي أو جهاز الاستبدال.

يجب أن تكون أدلة المزود واقعية بنفس القدر. يجب أن يكون مزود الخدمة المدارة قادرًا على إعطاء العميل قائمة مؤرخة بالأجهزة المتأثرة وغير المتأثرة، وحالة التعرض قبل التخفيف، والأوامر أو تغييرات التكوين المستخدمة لإغلاق سطح الإدارة، وهدف البرمجيات المصلحة، ونتيجة تقييم الاختراق، وأي استثناءات متبقية. لا يحتاج العميل إلى كل التقاط حزمة أو تفاصيل بيانات اعتماد حساسة. إنه يحتاج إلى أدلة كافية ليقرر ما إذا كانت استمرارية الأعمال أو إشعار التأمين السيبراني أو تواصل المدقق أو إخطار العميل مطلوبًا. بيان عام بأن "أجهزة Cisco تمت مراجعتها" ليس مثل سجل استرداد.

يجب أن يحدد هذا السجل أيضًا من وافق على الحالة المعرضة قبل الحادث. في العديد من الشبكات، تصبح واجهة الإدارة قابلة للوصول بسبب استثناء قديم، أو تغيير مؤقت لاستكشاف الأخطاء، أو قالب موروث من سلف، أو نموذج دعم خارجي يطبع الوصول الواسع بهدوء. إغلاق التعرض بعد يوم الصفر ضروري، لكن المساءلة تتطلب تعلم سبب وجود التعرض. إذا لم يتم التقاط السبب، يمكن أن يظهر نفس النمط مرة أخرى عند تثبيت جهاز بديل، أو استعادة تكوين احتياطي، أو توحيد مزود الدعم للنشر التالي.

فجوات الأدلة هي بحد ذاتها تعليمية

لا يقدم السجل العام عددًا كاملاً للضحايا، أو إسنادًا كاملاً للفاعل، أو كل تفاصيل الغرسة، أو كل منصة أجهزة متأثرة، أو حالة تعرض كل عميل، أو وصفة استرداد عالمية. قد يكون بعض هذه المعلومات غير معروف علنًا. قد يكون البعض قد تمت مشاركته بشكل خاص مع العملاء المتأثرين أو سلطات إنفاذ القانون. لا ينبغي ملء الغياب بالتكهنات.

النتيجة العامة الأكثر مسؤولية هي أضيق. وثقت Cisco و CISA الاستغلال النشط لثغرتي واجهة ويب IOS XE، مع إنشاء حساب بصلاحية 15، ورفع الصلاحيات إلى الجذر، وكتابة الغرسة. حثت CISA على تعطيل تعرض خادم HTTP المعرض للإنترنت، والصيد، والترقية. أصبحت الإصدارات المصلحة متاحة عبر قطارات الإصدار. تعتمد العواقب المحاسبية على التعرض المحلي والجرد والاسترداد.

يحمي حد الدليل هذا من سرديتين سيئتين. تقول السردية السيئة الأولى إن الحدث بأكمله كان ببساطة خطأ Cisco. هذا يتجاهل سيطرة العميل ومزود الخدمة المدارة على الإدارة المعرضة للإنترنت. تقول السردية السيئة الثانية إن الحدث بأكمله كان ببساطة خطأ العملاء لتعريض الإدارة. هذا يتجاهل مسؤولية Cisco عن الثغرات وجودة الإعلان وتوصيل الإصلاح وحوافز تصميم المنتج.

الحقيقة أقل إرضاءً وأكثر فائدة. عيوب المنتج والتعرض للنشر اجتمعا. استغل المهاجمون كليهما. تطلب الاسترداد الجيد إصلاحات البائع وانضباط المشغل. لم يكن تحكم أي طرف كاملاً، لكن كان لدى كلا الطرفين ما يكفي من التحكم ليكونا مسؤولين عن دورهما.

يظهر الحدث أيضًا مدى صعوبة إثبات الثقة السلبية بعد اختراق طائرة الإدارة. قد يتم تصحيح جهاز، لكن هل يمكن للمشغل إثبات أنه لم يكن هناك إنشاء حساب؟ قد يتم إزالة مستخدم، لكن هل يمكن للمشغل إثبات عدم تغيير أي تكوين؟ قد تختفي الغرسة بعد إعادة التشغيل، لكن هل يمكن للمشغل إثبات عدم وجود استمرارية لاحقة؟ نادرًا ما تجيب رسالة حالة عامة على هذه الأسئلة. بنية الأدلة المبنية قبل الحادث تفعل.

تتبع المساءلة طائرة الإدارة

طائرة الإدارة هي حيث تتركز السلطة. إنها حيث يصادق المسؤولون، وتتغير التكوينات، وينشأ المستخدمون، وتمكن الخدمات، وتعرض السجلات، ويبدأ الاسترداد. ترك تلك الطائرة قابلة للوصول من الإنترنت العام يخلق رهانًا دائمًا: أن المصادقة والكود والتكوين والمراقبة والتصحيح ستبقى جميعها قوية بما يكفي ضد كل استغلال حالي ومستقبلي.

أظهرت حادثة واجهة ويب IOS XE أن الرهان يمكن أن يفشل. كان لدى منتج Cisco مشكلتان غير معروفتين سابقًا في سلسلة واجهة الويب. كان لدى العملاء والمزودين واجهات إدارة معرضة. تحرك المهاجمون بسرعة كافية ليصبح التخفيف وتوصيل الإصلاح طارئًا. كان على الوكالات الحكومية تضخيم الإرشادات. كان على المشغلين البحث عن إنشاء الحسابات والغرسات. كان على الشركات الصغيرة والمتوسطة الاعتماد على المزودين للإجابات.

الدرس ليس إزالة كل إدارة عن بُعد. تحتاج الشبكات الحديثة إلى إدارة عن بُعد. الدرس هو معاملة وصول الإدارة كبنية تحتية مميزة بسطح هجوم أصغر، هوية أقوى، قيود شبكية، تسجيل، مراقبة تغيير، ومراجعة مستمرة للتعرض. يجب أن تكون الإدارة عن بُعد قابلة للوصول من خلال مسارات إدارة متعمدة، وليس من خلال تعرض إنترنت عام واسع.

بالنسبة لـ Cisco، الدرس المستمر هو وضع طائرة الإدارة بالتصميم الآمن: اجعل التعرض غير الآمن أصعب، واجعل التكوينات الخطرة مرئية، واجعل الإصلاحات قابلة للتتبع، واجعل إرشادات الكشف قابلة للتنفيذ، واجعل تعيين الإصدارات أقل إرباكًا. بالنسبة للعملاء ومزودي الخدمات المدارة، الدرس هو حقيقة الأصول والتعرض: اعرف ما يعمل، واعرف ما يمكن الوصول إليه، واعرف من يملكه، واعرف كيفية تعطيله، واعرف كيفية إعادة بنائه، واعرف ما هي الأدلة التي ستثبت التنظيف.

بالنسبة للوكالات العامة والمنظمين، الدرس هو أن واجهات إدارة أجهزة الشبكة تستحق نفس الرؤية مثل ثغرات التطبيقات الرئيسية. يمكن لموجه أو مفتاح مخترق تشويه بيئة الأدلة حول حوادث أخرى. يمكن أن يصبح نقطة عمياء داخل بنية الاستجابة. هذا يجعل تعرض طائرة الإدارة خطر استمرارية، وليس مجرد قضية نظافة تقنية معلومات.

سجل استغلال واجهة ويب IOS XE من Cisco في عام 2023 قيم لأنه يرفض نهاية بسيطة. كانت التصحيحات مهمة. كان التصلب مهمًا. كانت الإعلانات مهمة. كان الجرد مهمًا. كانت مساءلة مزود الخدمة المدارة مهمة. كانت الغرسة مهمة. كانت الواجهة المعرضة الأكثر أهمية لأنها قررت أي الأجهزة كانت قابلة للوصول قبل أن يمتلك المدافعون معلومات كاملة.

الاستنتاج المحاسبي بالتالي عملي. لا ينبغي لجهاز شبكة أن يخترق قبل أن يكتشف مالكه أن واجهة ويب إدارية كانت مفتوحة للعالم. لا ينبغي للبائع الاعتماد على العملاء لإيجاد كل تعرض غير آمن بعد أن وقع يوم الصفر بالفعل. لا ينبغي للمزود أن يخبر عميلاً "تعاملنا معها" بدون أدلة. في أمن طائرة الإدارة، الثقة ليست شعورًا تجاه علامة تجارية أو مستوى تصحيح. إنها سجل: تم إغلاق التعرض، تم تقييم الاختراق، تم إصلاح البرمجيات، تم إعادة بناء الجهاز حيث لزم، وتم استعادة سلطة الشبكة مع إثبات.