اعتبار هکر هشیاری به 900+ سرورهای VPN Enterprise

webiyan آگوست 10, 2020 0 Comments

یک هکر از آسیب پذیری CVE که سال گذشته منتشر شده است برای سوء استفاده از سرورهای معتبر 900+ سرورهای VPN شرکت Pulse Secure بدون رونق استفاده می کند. اطلاعات سرقت شده در یک انجمن هکرهای روسی که توسط گروههای باج افزار استفاده شده است به اشتراک گذاشته می شود.

اعتبار VPN Leaked

در اوایل هفته ، محققان امنیتی کشف کردند که لیست ساده ای از اعتبار سرور VPN شرکت Pulse Secure ، منتشر شده است. این لیست شامل نام کاربری و رمزعبورهای متعلق به بیش از 900 سرور VPN شرکت است. این لیست همچنین حاوی آدرس های IP سرورهای VPN ، نسخه سیستم عامل و کلیدهای SSH و همچنین جزئیات حساب Admin ، هشدارهای عبور برای کاربران محلی و کوکی های جلسه VPN است.

یک تحلیلگر اطلاعات تهدید ، بانک امنیت ، لیست را در انجمن هکرهای روسی که توسط گروههای ransomware استفاده می شود. امنیت بانکی در توییتر اظهار داشت که "در این لیست دامنه های مختلف .gov ، بانک ها و سایر شرکت های بزرگ وجود دارد!" تحلیلگر در همان روز خبررسانی ZDNet را از این لیست مطلع کرد ، که با کمک شرکت اطلاعاتی تهدید KELA ، صحت این لیست را با منابع متعدد در جامعه امنیت سایه تأیید کردند.

سرورهای Pulse Secure VPN به عنوان دروازه ورود به سیستم استفاده می شوند. شبکه های شرکتی به طوری که کارمندان بتوانند از راه دور از طریق اینترنت به پرونده ها و برنامه های شرکت دسترسی پیدا کنند. بنابراین ، مدارک معتبر به هکرها امکان دسترسی به کل شبکه داخلی شرکت ها را می دهد. به همین دلیل است که گروه های APT در گذشته سیستم های VPN را هدف قرار داده اند. و چرا آنها در آینده به این کار ادامه خواهند داد. جیسون گاربیس ، معاون ارشد محصولات در AppGate خاطرنشان کرد: "این شرکت ها در معرض خطر فوری هستند ، زیرا شبکه های خصوصی آنها اکنون به طور مؤثر در معرض مهاجمان هستند. علاوه بر این ، این احتمال وجود دارد که این کاربران از رمزهای عبور برای حسابهای دیگر استفاده کنند ، که اکنون نیز در معرض خطر هستند. "

Cause of Breach

به نظر می رسد که این نقض توسط شرکتهایی امکان پذیر نیستند که شرکت Pulse Secure را تهیه کنند. سرورهای VPN. یک محقق در بانک امنیت خاطرنشان کرد: تمام سرورهای VPN موجود در این لیست وصله نشده اند. همه سرورها نسخه قدیمی سیستم عامل را اجرا می کردند که در برابر آسیب پذیری گذر از تأیید هویت آسیب پذیر است. این آسیب پذیری در آگوست سال گذشته و به عنوان CVE-2019-11510 ردیابی شده بود.

Bad Packets ، یک شرکت اطلاعاتی تهدید مستقر در ایالات متحده ، از زمان انتشار این آسیب پذیری اینترنت را برای سرورهای آسیب پذیر Pulse Secure VPN اسکن کرده است. Bad Packets اظهار داشت که از آدرس IP 913 موجود در این لیست ، 677 نفر از آنها نتوانسته اند سرور خود را وصله کنند. این درحالی است که آنها بیش از یک سال برای انجام این کار داشتند.

علاوه بر این ، نقض ممکن است بزرگتر از آنچه در حال حاضر شناخته شده است باشد. هکر ممکن است اطلاعات بیشتری را از آنچه تاکنون منتشر شده است به سرقت برده باشد. "داده های منتشر شده فقط 900 سرور را نشان می دهد. آنچه ما نمی دانیم اینست که تعداد بیشتری از آنها آزاد نشده اند – یا کدام یک از این سرویس دهنده ها می توانند حساس باشند که اکنون در برنامه ریزی برای حمله بزرگتر مورد استفاده قرار می گیرند و تولید می شوند. »گفت: لورنس پیت ، مدیر استراتژی امنیت جهانی در Juniper Networks. با این حال ، وصله سرورها اکنون کافی نخواهد بود. برای جلوگیری از قربانی شدن در حملات احتمالی ، شرکت های آسیب پذیر هم اکنون نیز نیاز به تغییر اعتبارنامه ورود به سیستم دارند.

بعد چه می شود؟

شرکت های بزرگ بعضی اوقات شبکه های تولید VPN را بدون رعایت می گذارند زیرا کارهای تعمیر و نگهداری می تواند صدها و هزاران دلار برای این مشاغل هزینه کند. این علیرغم افزایش خطرات سوء استفاده از بدافزارهای احتمالی ، حملات ویرانگر باج افزار و نقض حریم خصوصی است.

شرکت های آسیب پذیر اکنون نیاز دارند تا VPN های Pulse Secure خود را پچ کرده و مدارک ورود به سیستم را با بیشترین فوریت تغییر دهند. ادی بابریتسکی ، مدیر عامل شرکت آزمایشگاه های مینروا نیز استفاده از رمز عبور یک بار (OTP) را توصیه می کند و از شرکت ها می خواهد که "از نقاط انتهایی از راه دور در برابر حملات بعدی محافظت کنند." همانطور که از نام آن پیداست ، OTP یک رمز عبور است که فقط برای یک جلسه ورود معتبر است. در نتیجه ، اگر یک هکر موفق به سرقت OTP شود ، قادر به استفاده مجدد از آن نخواهد بود زیرا برای ورود بعدی معتبر نخواهد بود.

همچنین استفاده از ارائه دهندگان VPN به خوبی تکمیل شده مانند ExpressVPN و NordVPN توصیه می شود. این ارائه دهندگان VPN برای کمک به اطمینان از ایمنی داده ها ، خط مشی های عدم ورود به سیستم حسابرسی کرده اند.