رمزعبور بیش از 900 وی پی ان فاش شد - وبلاگ حامد

به گزارش وبلاگ حامد، آسیب پذیری در محصول وی پی ان یک شرکت، به مهاجمان اجازه می دهد تا از راه دور و به صورت غیرمجاز به شبکه شرکت ها متصل شوند و تأیید هویت چندعاملی را غیرفعال نمایند.

محققان امنیتی ابتدا در سال 2019 در مورد یک آسیب پذیری که بر محصول وی پی ان شرکت Pulse Secure تأثیر می گذارد هشدار دادند، این آسیب پذیری به شدت بحرانی به مهاجمان اجازه می دهد تا از راه دور و به صورت غیرمجاز به شبکه شرکت ها متصل شوند، تأیید هویت چندعاملی را غیرفعال نمایند و از راه دور لاگ ها و گذرواژه هایی با متن ساده، ازجمله گذرواژه های حساب کاربری Active Directory را مشاهده نمایند.

طبق اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه ای) در تاریخ 4 آگوست 2020 یک هکر، لیستی از آدرس IP بیش از 900 سرور Pulse Secure VPN و همچنین نام های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن ها استفاده شده بود منتشر کرد که تحت تأثیر این آسیب پذیری بحرانی قرار گرفته اند.

کارشناسان امنیتی وب سایت زددی نت که نسخه ای از این لیست را با یاری شرکت اطلاعاتی KELA به دست آورده است نیز صحت این موضوع را تأیید می نمایند. این لیست شامل IP آدرس سرورهای Pulse Secure VPN، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، لیستی از تمامی کاربران محلی و رمزهای عبور هش شده آن ها، جزئیات حساب کاربری مدیر، آخرین ورودهای VPNشامل نام های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن ها استفاده شده است وکوکی های VPN session می گردد.

از بین 913 آدرس IP منحصربه فرد پس از آنالیز های انجام شده توسط اسکنرهای Bad Packets CTI تعداد 677 مورد از این آدرس ها در سال گذشته هنگام اکسپلوت عمومی این آسیب پذیری، نسبت به آن آسیب پذیر بوده اند؛ همچنین در بین لیست منتشرشده، معین شده است که 677 شرکت از نخستین اسکن Bad Packets در سال گذشته، هنوز وصله نشده اند.

حتی اگر این شرکت ها سرورهایPulse Secure خود را وصله نمایند، جهت جلوگیری از سوءاستفاده هکرها، باید رمزهای عبور خود را تغییر دهند. لیست مذکور در یک تالار تبادل نظر در بین هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکه های سازمانی شده و از قربانیان طلب باج خواهند کرد.

نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ به عنوان gateway دسترسی به شبکه های شرکتی، مورد استفاده قرار می گیرند تا کارکنان آن ها بتوانند به وسیله اینترنت و از راه دور به اپلیکیشن های داخلی وصل شوند.

تحلیل گری به نام Bank Security و کسی که در همان لحظات اولیه از لیست مذکور اطلاع پیدا کرد و آن را با زددی نت به اشتراک گذاشت، نظر جالبی درخصوص این لیست و محتوای آن بیان نمود. به گفته وی، تمامی سرورهای Secure VPN موجود در لیست، نسخه ای از firmware را اجرا می نمایند که نسبت به این نقص آسیب پذیر هستند؛ وی معتقد است هکری که این لیست را منتشر نموده ، تمامی فضای آدرس IPv4 اینترنت را برای سرورهای Pulse Secure VPN اسکن نموده است.

برای مقابله با این آسیب پذیری و جلوگیری از تحت تأثیر قرار دریافت سرورها، اعلام شد که هرچه سریع تر وصله های امنیتی منتشر شده توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure استفاده می نماید، در اسرع وقت نسبت به اعمال وصله امنیتی منتشر شده اقدام کنید.،ایسنا