افشای رمزعبور بیشتر از ۹۰۰ وی پی ان
به گزارش رهاتل صدمه پذیری در محصول وی پی ان یك شركت، به مهاجمان اجازه می دهد تا از راه دور و به صورت غیرمجاز به شبكه شركت ها متصل شوند و تأیید هویت چندعاملی را غیرفعال كنند.
به گزارش رهاتل به نقل از ایسنا، محققان امنیتی ابتدا در سال ۲۰۱۹ در مورد یک صدمه پذیری که بر محصول وی پی ان شرکت Pulse Secure تاثیر می گذارد اخطار دادند، این صدمه پذیری به شدت بحرانی به مهاجمان اجازه می دهد تا از راه دور و به صورت غیرمجاز به شبکه شرکت ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور لاگ ها و پسورد هایی با متن ساده، ازجمله پسورد های حساب کاربری Active Directory را مشاهده کنند.
طبق اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) در تاریخ ۴ آگوست ۲۰۲۰ یک هکر، فهرستی از آدرس IP بیشتر از ۹۰۰ سرور Pulse Secure VPN و همینطور نامهای کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آنها استفاده شده بود منتشر نمود که تحت تاثیر این صدمه پذیری بحرانی قرار گرفته اند.
کارشناسان امنیتی وبسایت زددی نت که نسخه ای از این فهرست را با کمک شرکت اطلاعاتی KELA به دست آورده است هم صحت این مورد را تأیید می کنند. این فهرست شامل IP آدرس سرورهای Pulse Secure VPN، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، فهرستی از تمامی کاربران محلی و رمزهای عبور هش شده آنها، جزئیات حساب کاربری مدیر، آخرین ورودهای VPNشامل نامهای کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آنها استفاده شده است وکوکی های VPN session می شود.
از بین ۹۱۳ آدرس IP منحصربه فرد بعد از بررسی های صورت گرفته توسط اسکنرهای Bad Packets CTI تعداد ۶۷۷ مورد از این آدرس ها پارسال هنگام اکسپلوت عمومی این صدمه پذیری، نسبت به آن صدمه پذیر بوده اند؛ همینطور در میان فهرست منتشرشده، مشخص شده است که ۶۷۷ شرکت از اولین اسکن Bad Packets در سال گذشته، هنوز وصله نشده اند.
حتی اگر این شرکت ها سرورهایPulse Secure خویش را وصله کنند، جهت پیشگیری از سوءاستفاده هکرها، باید رمزهای عبور خویش را تغییر دهند. فهرست مذکور در یک تالار گفتگو در میان هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکه های سازمانی شده و از قربانیان طلب باج خواهند کرد.
نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ بعنوان gateway دسترسی به شبکه های شرکتی، مورد استفاده قرار می گیرند تا کارکنان آنها بتوانند از راه اینترنت و از راه دور به اپلیکیشن های داخلی وصل شوند.
تحلیل گری به نام Bank Security و کسی که در همان لحظات اولیه از فهرست مذکور اطلاع پیدا کرد و آنرا با زددی نت به اشتراک گذاشت، نظر جالبی درمورد این فهرست و محتوای آن بیان کرد. به قول وی، تمامی سرورهای Secure VPN موجود در فهرست، نسخه ای از firmware را اجرا می کنند که نسبت به این نقص صدمه پذیر هستند؛ وی اعتقاد دارد هکری که این فهرست را منتشر نموده، تمامی فضای آدرس IPv۴ اینترنت را برای سرورهای Pulse Secure VPN اسکن کرده است.
برای مقابله با این صدمه پذیری و پیشگیری از تحت تاثیر قرار گرفتن سرورها، اعلام گردید که هرچه سریع تر وصله های امنیتی انتشار یافته توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure استفاده می نماید، در اسرع وقت نسبت به اعمال وصله امنیتی انتشار یافته اقدام کنید.
منبع: rahatel.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب