آسیب پذیری در ابزار rConfig

787 بازدید

دسته بندی: امنیت منتشر شده در دی 12, 1398 نویسنده: هیوا شبکه زمان مطالعه: 3 دقیقه 1 نظر به روز شده در مهر 25, 1403

آسیب پذیری در ابزار rConfig

توضیحاتی درباره ابزار rConfig

rConfig که به زبان PHP نوشته شده است، یک ابزار اُپن‌سورس برای مدیریت پیکربندی دستگاه‌های شبکه است که مهندسان شبکه را قادر می‌سازد دستگاه‌های شبکه را پیکربندی نمایند و به صورت مکرر از پیکربندی‌ها اسنپ‌شات بگیرند.

از این ابزار برای مدیریت بیش از 3.3 میلیون دستگاه شبکه از جمله سوئیچ‌ها، روترها، فایروال‌ها، load-balancer و بهینه‌سازهای WAN استفاده می‌شود.

آسیب پذیری مهم

آسیب پذیری در ابزار rConfig : هشدار مهم و فوری برای کسانی که از ابزار محبوب مدیریت پیکربندی شبکه‌ی rConfig برای محافظت و مدیریت دستگاه‌های شبکه خود استفاده می‌کنند.
به تازگی، جزئیات و کد اثبات مفهومی برای دو آسیب‌پذیری مهم و بحرانی اجرای کد از راه دورRCE (remote code execution) در ابزار rConfig منتشر شده است.
در یکی از این آسیب‌پذیری‌ها، مهاجم غیر مجاز می‌تواند از راه دور سرورهای مورد هدف را به خطر انداخته و به دستگاه‌های شبکه متصل شود.

مشکل اصلی این آسیب پذیری

آنچه که موجب نگرانی بیشتر می‌شود این است که هر دوی این آسیب‌پذیری‌ها تمام نسخه‌های rConfig از جمله آخرین نسخه آن یعنی 3.9.2 را تحت تأثیر قرار داده و تاکنون نیز هیچ وصله امنیتی برای آنها منتشر نشده است.
هر یک از این آسیب‌پذیری‌ها در یک فایل جداگانه‌ی rConfig قرار دارند، اولین آسیب‌پذیری با شناسه “CVE-2019-16662” می‌تواند از راه دور و بدون نیاز به احراز هویت، مورد اکسپلویت قرار گیرد. در حالیکه آسیب‌پذیری دیگر با شناسه ” CVE-2019-16663″ قبل از اینکه مورد اکسپلویت قرار بگیرد به احراز هویت نیاز دارد.

آسیب پذیری ها

آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده (CVE-2019-16662) در فایل ajaxServerSettingsChk.php
آسیب‌پذیری اجرای کد از راه دور احراز هویت شده (CVE-2019-16663) در فایل search.crud.php
برای اکسپلویت هر دو مورد، یک مهاجم تنها کافیست از طریق یک پارامتر GET ناقص که برای اجرای دستورات مخرب بر روی سرور مورد هدف طراحی شده است، به فایل‌های آسیب‌پذیر دسترسی پیدا کند.

توصیه امنیتی

در صورتی که از ابزار rConfig استفاده می‌کنید، توصیه می‌شود تا زمان انتشار وصله‌های امنیتی، آن را به طور موقت از سرور خود حذف کنید.

آشنایی با آسیب پذیری هایی که هر مدیر IT باید آن را رفع کند ! بر روی همین لینک کلیک کنید

هیواشبکه

ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟

https://hivanetwork.ir/?p=14847

هیوا شبکه

به صورت حرفه ای آموزش ببینید ، با آزمونهایی در سطح بین المللی خود را محک بزنید و از آموزشگاه تخصصی هیواشبکه با مجوز از سازمان آموزش فنی و حرفه ای و آموزش کارکنان دولت مدرک معتبر اخذ نمایید. همراهتان هستیم

مطالب بیشتر