یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

اداره امنیت سایبری و امنیت زیرساخت های امنیت داخلی آمریکا (DHS CISA) و دفتر تحقیقات فدرال FBI آمریکا، یک فهرست مشترک از خطرناک‌ترین آسیب پذیری‌های امنیتی که موجب تهدید کاربران فضای مجازی شده است را منتشر کرده اند که شامل ده آسیب پذیری برتر فضای مجازی از سال ۲۰۱۶ تا ۲۰۱۹ می باشد.

این آسیب پذیری ها بیشترین خسارت را به نهادهای بخش دولتی و خصوصی در آمریکا تحمیل کرده‌اند و به کاربران هشدار داده شده که باید فایل‌های به‌روزرسانی را برای جلوگیری از تداوم مشکلات ناشی از وجود این حفره‌های امنیتی نصب کنند. گزارش تهیه شده در این زمینه نشان می‌دهد هکرهای دولتی و مستقل به طور گسترده از آسیب پذیری‌های مذکور برای حملات سایبری استفاده کرده‌اند.

مشاهدات مربوط به هشدار امنیتی مشترک CISA و FBI عبارتند از:

- متداول ترین مورد حمله  OLE یا همان Object Linking and Embedding مایکروسافت بود. این فناوری گنجاندن محتواهای سایر برنامه‌های کاربردی اعم از عکس و ویدئو و غیره را در نرم افزار آفیس ممکن می‌کند. آسیب پذیریهای OLE مانند CVE-2017-11882 ، CVE-2017-0199 و CVE-2012-0158 بیشترین آسیب پذیری های مورد استفاده گروههای تحت حمایت دولت ملی کشورهایی از جمله چین ، ایران ، کره شمالی و روسیه بودند.
- رتبه دوم این لیست به فناوری Apache Struts اختصاص دارد که یک برنامه متن باز اینترنتی برای توسعه برنامه‌های جاوای تحت وب است.
- همچنین بیشترین آسیب پذیری مورد استفاده در سال 2020 به شماره CVE-2019-19781 (اشکال در وسایل Citrix VPN) و CVE-2019-11510 (اشکال در سرورهای Pulse Secure VPN) بود.
در حین شیوع کروناویروس ، بسیاری از سازمانهایی که از محل کار منزل به کار خود مشغول کار هستند ، از سوء استفاده مستقر در دفتر 365 پیکربندی شده اند.
- همچنین در حین شیوع کروناویروس ، بسیاری از سازمانهایی که ارتباط کارمندان خود را بصورت دورکاری فعال نموده اند، به دلایل مختلف پیکربندی امن و کاملی را برای Office 365 انجام نداده اند و براحتی مورد سوء استفاده قرار گرفته اند.

لیست 10 آسیب پذیری برتر نیز شامل موارد زیر میباشد که براحتی با جستجو در سایت nist.gov امکان مطالعه و بررسی دقیق آنها را دارید:

CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158, CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600.

 

 

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

 

پیش زمینه:

شرکای CISA مواردی از سوءاستفاده و آسیب پذیری های فعال را در محصولات داخلی مایکروسافت Exchange مشاهده کرده اند. در حال حاضر احتمال آسیب پذیری و سوءاستفاده احتمالی از این نقص ها بر روی مایکروسافت 365 و یا Azure Cloud مشخص نشده است. سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

CISA اعلام کرده است که این سوءاستفاده از محصولات داخلی مایکروسافت Exchange خطری غیرقابل قبول برای agent های اجرایی فدرال دارد و باید در اسرع وقت این مشکل مرتفع شود. این اعلام نظر بر مبنای احتمال سوءاستفاده فعلی از این آسیب پذیری ها در بدترین حالت خود است که به طبع آن، سوءاستفاده از این آسیب پذیری ها، نشر نرم افزار آسیب دیده در شرکت های فدرال، پتانسیل بالای بروز آسیب در سیستمهای اطلاعاتی agent در معرض خطر و تاثیر بالقوه ایجاد خطر موفقیت آمیز را در پی دارد.

در حال حاضر آسیب پذیری های مربوط به این آسیب پذیری شناسایی شده، شامل CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 است.

طبق گفته های مایکروسافت و محققین امنیتی، آسیب پذیری های زیر نیز شناسایی شده اند که مشخص نیست هنوز قابل بهره برداری باشند: CVE-2021-26412, CVE-2021-26854, CVE-2021-27078.

اقدامات مورد نیاز

1. پس از شناسایی همه موارد مورد نظر در محیط سرورهای داخلی مایکروسافت Exchange، agent ی که دارای تخصص کافی هستند باید با استفاده از ابزار جمع آوری اطلاعات را به صورت قانونی تهیه کنند (مانند هشدار امنیتی CISA) برای جمع آوری اطلاعات حافظه سیستم، لاگ های مربوط به وبِ سیستم، لاگ های رویداد های ویندوز و تمام جزئیات رجیستری. سپس agent باید اطلاعات جمع آوری شده را از نظر نشانه هایی مبنی بر نفوذ یا موارد مشکوک، مانند تخلیه اعتبارنامه ها و سایر فعالیت هایی که در قسمت هشدار فعالیت، شرح داده شده اند را بررسی کنند. اگر رفتار مشکوک یا نشانه ای از بروز خطر مشاهده شد، به مورد 2 مراجعه کنید.

اگر هیچ نشانه ای از به خطر افتادگی یافت نشد، agent باید بلافاصله بروزرسانی های مایکروسافت را برای سرورهای مایکروسافت Exchange اعمال کرده و سپس به گزینه 5 بروند.

اگر agent از تخصص کافی در زمینه اعمال موارد قانونی ذکر شده در سیستم های خود را ندارند، باید به گزینه 3 رجوع کنند.

2. agent هایی که تخصص لازم را دارند، بلادرنگ، قبل از انجام گزینه 3، اقدامات زیر را انجام دهند. agent ها باید اطلاعات جمع آوری شده در این مرحله را در راستای شناسایی نشانه هایی از تغییرات و نفوذ یا رفتار مشکوک، مانند تخلیه اعتبار نامه ها، حرکات غیرطبیعی و متفرقه، persistence mechanisms و هرگونه سوءاستفاده احتمالی بررسی کنند.
   1. به بصورت صحیح از حافظه سیستم یک نسخه پشتیبان تهیه کنید یا برای virtual host، یک نسخه حافظه مجازی (VMEM) را در حافظه خارجی برای بررسی، تهیه و ذخیره کنید.
   2. اگر امکان تهیه نسخه پشتیبان فراهم بود، طبق فرایند agent عمل کرده تا نسخه لایو پشتیبان را ایجاد نمایید.
   3. اگر نمیتوان نسخه پشتیبان لایو را تهیه کرد، همه سیستم ها (سیستم های مجازی) که نسخه تحت وب Outlook (به طور کلی Outlook Web Access/App یا OWA و یا صفحه کنترل Exchange یا ECP را اجرا میکنند، متوقف نمایید.
   4. برای جستجوی IOCهای موجود در قسمت هشدار فعالیت های CISA، اقدام به بررسی و آنالیز نسخه پشتیبان تهیه شده، کنید.
   5. ترافیک شبکه و داده های بزرگ ذخیره شده را در راستای پیدا کردن نشانه های بروز مخاطرات و یا اتصالات مشکوک که در قسمت هشدار فعالیت CISA ارائه شده است را بررسی و آنالیز نمایید.
   6. شبکه و سیستم ها را برای یافتن نشانه های اضافی مبنی بر نفوذ و تغییرات که ارائه شده اند، با دقت بررسی کنید.
3. agent ی که نشانه های نفوذ و سازش را در گزینه 1 شناسایی کرده اند یا تخصص لازم برای انجام گزینه های 1 و یا 2 را ندارند، باید این مراحل را انجام داده و سپس به گزینه 4 بروند:
   1. سرورهای مایکروسافت Exchange را فوراٌ قطع کنید.
   2. تا زمانی که CISA این سازمان ها را به بازسازی سیستم عامل سرور مایکروسافت Exchange و نصب مجدد بسته نرم افزاری هدایت میکند، نمایندگی ها از پیوستن مجدد به دامنه سازمانی سرور مایکروسافت Exchange منع شده اند.
   3. شناسایی و حذف تمام حساب های مخرب actor-controlled و شناسایی persistence mechanisms.
   4. نهادهایی درگیر این آسیب پذیری، باید قبل از بازسازی سیستم ها از منابع معتبر با استفاده از آخرین نسخه محصول موجود، با CISA ارتباط برقرار کرده و راهنمایی های لازم را دریافت کنند.
4. وجود هر یک از موارد زیر را به عنوان یک مشکل و حادثه بلادرنگ به CISA گزارش دهید:
   1. شناسایی شاخص های نشان دهنده بروز خطر، همانطور که در قسمت هشدار فعالیت CISA ذکر شده است.
   2. وجود کد web shell در سرور داخلی مایکروسافت Exchange که در معرض خطر است.
   3. دسترسی یا استفاده غیرمجاز از حساب ها.
   4. وجود شواهدی مبنی بر حرکات متفرقه توسط مهاجمین با دسترسی به سیستم های در معرض خطر و آسیب.
   5. سایر شاخص های دسترسی یا unauthorized compromise.
   6. سایر شاخص های مرتبط به این موضوع که توسط CISA اعلام شده است.
5. همه agent ها باید گزارش خود را با استفاده از الگوی ارائه شده تا ظهر به وقت استاندارد شرقی در ظهر جمعه پنجم مارس 2021 گزارش دهند. مدیران ارشد اطلاعات (CIO) در سطح دپارتمان یا معادل آن باید این گزارش را که گواهی وضعیت agent است، به CISA گزارش دهند.

این اقدامات ضروری در مورد agent ی که از سرورهای مایکروسافت Exchange در هر سیستم اطلاعاتی استفاده میکنند، شامل یک سیستم اطلاعاتی که توسط یک نهاد دیگر به نمایندگی از یک agency استفاده یا اداره میشود، اعمال میشود که اطلاعات agent را جمع آوری، پردازش، ذخیره، انتقال، انتشار یا در غیر اینصورت حفظ میکند.

اقداماتCISA

CISA به کار با شرکای خود برای نظارت بر هرگونه سوءاستفاده ممکن و مرتبط با این آسیب پذیری ادامه خواهد داد.

CISA با در دسترس قرار گرفتن شاخص های اضافی بر مبنای بروز خطر و آسیب، آزاد خواهد شد.

CISA برای مطابقت با این بخشنامه، به agent فاقد توانایی داخلی، کمک فنی خواهد کرد.

CISA از طریق وب سایت CISA، و به وسیله ارتباط هماهنگ با بخشنامه اضطراری و از طریق مشارکت های فردی در صورت درخواست و همچنین راهنمایی بیشتری را به agent ارائه میدهد.

تا 5 آپریل 2021، CISA گزارشی را به وزیر امنیت داخلی و مدیر دفتر مدیریت و بودجه یا OMB ارائه میدهد که وضعیت بین agent و مسائل مهم این آسیب پذیری را مشخص می نماید.

مدت زمان

این دستورالعمل اضطراری تا زمانی که همه agent های عامل سرورهای مایکروسافت Exchange از بسته بروزرسانی موجود استفاده نکنند یا تا زمانی که بخشنامه با اقدامات مناسب دیگر خاتمه یابد، همچنان در حال اجرا خواهد بود.

 

مطالعه جدیدی در مورد زیرساخت های دارک وب افشا کرده است که یک عامل تهدید ناشناخته در اوایل فوریه 2021 بیش از 27 درصد از کل ظرفیت خروجی شبکه Tor را کنترل کرده است.

یک محقق امنیتی مستقل که از او با nusenu نام برده شده است، در متنی که روز یکشنبه منتشر شده، اعلام کرده است که: "نهادی که به کاربران Tor حمله می کند، از بیش از یک سال پیش بصورت فعالانه از کاربران Tor بهره برداری می کند و دامنه حملات آنها را به سطح اطلاعاتی جدیدی ارتقا داده است. متوسط ​​نرخ خروجی که این نهاد در طول 12 ماه گذشته کنترل کرده، بالای 14٪ بوده است".

به گزارش هکرنیوز، این آخرین مورد از مجموعه تلاشهایی است که برای آشکار کردن فعالیتهای مخرب Tor از دسامبر 2019 انجام شده است. حملاتی که گفته می شود در ژانویه 2020 آغاز شده است و برای اولین بار توسط همان محقق در اوت 2020 مستندسازی و افشا شده است.

Tor یک نرم افزار متن باز برای امکان برقراری ارتباط ناشناس در اینترنت است. این مبدا و مقصد، درخواست وب را با هدایت ترافیک شبکه از طریق یک سری رله ها مخفی می کند تا آدرس IP و مکان و موارد استفاده کاربر را از هرگونه نظارت یا تجزیه و تحلیل ترافیک پنهان کند. در حالی که رله های میانی معمولاً از دریافت ترافیک در شبکه Tor مراقبت می کنند و آن را عبور می دهند، رله خروجی گره نهایی است که ترافیک Tor قبل از رسیدن به مقصد از آن عبور می کند.

گره های خروجی در شبکه Tor در گذشته برای تزریق بدافزارهایی مانند OnionDuke تحت تاثیر قرار گرفته بودند، اما این اولین بار است که یک عامل ناشناس موفق به کنترل چنین بخش بزرگی از گره های خروجی Tor می شود.

 

سازمان یا گروه هک کننده، 380 رله خروج مخرب Tor را در پیک خود در آگوست 2020 و قبل از اینکه دایرکتوری Tor مداخله کرده و گره ها را از شبکه حذف کند، نگهداری کردند. به دنبال آن فعالیت در اوایل سال جاری دوباره آغاز شد و مهاجم تلاش کرد بیش از 1000 رله خروجی را در هفته اول ماه مه، اضافه کند. همه رله های خروجی مخرب Tor که در جریان موج دوم حملات شناسایی شده بودند، حذف شده اند.

به گفته nusenu، هدف اصلی این اقدامات، انجام حملات "man-in-the-middle" بر علیه کاربران Tor و با دستکاری در ترافیک عبوری از شبکه رله های خروجی آنها است. به ویژه به نظر می رسد مهاجم از آنچه که SSL stripping شناخته میشود، برای کاهش میزان ترافیک به سمت سرور میکسر Bitcoin از HTTPS به HTTP اقدام می کند، و طی حرکتی آدرس های بیتکوین را جایگزین کرده و معاملات را به جای آدرس بیت کوین که توسط کاربر ارائه می شود، به کیف پول الکترونیکی خود هدایت کند.

محققین پشتیبانی پروژه Tor در ماه آگوست تشریح کردند که: "اگر کاربری از نسخه HTTP (یعنی نسخه رمزگذاری نشده و تأیید نشده) یکی از این سایتها بازدید کند، آنها از هدایت کاربر به نسخه HTTPS (یعنی نسخه رمزگذاری شده و تأیید شده) سایت جلوگیری می کنند. اگر کاربر متوجه نشود که در نسخه HTTPS سایت (که هیچگونه آیکون قفل در مرورگر وجود ندارد) بوده و اقدام به ارسال یا دریافت اطلاعات حساس کند، این اطلاعات توسط مهاجم قابل رهگیری میباشد".

برای کاهش چنین حملاتی، پروژه Tor توصیه های را شرح داده است؛ از جمله اصرار به مدیران وب سایت ها برای فعال کردن پیش فرض HTTPS و استقرار سایت های .onion برای ممانعت گره های خروج و اضافه کردن این برنامه به "comprehensive fix" جهت غیرفعال کردن HTTP ساده در مرورگر Tor است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژوئیه سال 2020 در یک توصیه اعلام کرد: "خطر آلودگی به عنوان هدف سوءاستفاده از طریق Tor برای هر سازمان منحصر به فرد است. یک سازمان باید ریسک خطر خود را با ارزیابی احتمال اینکه عامل تهدید، سیستم ها یا داده های آن را هدف قرار میدهد و احتمال اینکه موفقیت عامل حملات باعث از دست دادن کنترل و کاهش امکان مدیریت شرایط میشود، در نظر بگیرد".

این مجموعه افزود: "سازمان ها باید تصمیمات کاهش مخاطرات خود را در برابر تهدیدات سازمانی خود از طریق تهدیدهای مداوم پیشرفته (APT)، مهاجمان نسبتاً پیشرفته و هکرهای مستقل با مهارت کم که همه آنها از Tor برای انجام شناسایی و حملات در گذشته استفاده کرده اند، ارزیابی نمایند".

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

اجرای ضعیف و ناکافی استانداردهای مخابراتی، تهدیدات زنجیره تأمین و ضعف در ساختار سیستم ها را می توان به عنوان خطرات عمده در زمینه امنیت سایبری شبکه های 5G برشمرد که به طور بالقوه این شبکه را به یک هدف سودآور برای مجرمان سایبری و دشمنان دولت ها و ملت ها تبدیل می کند تا از آن برای بهره برداری و سوءاستفاده از اطلاعات ارزشمند استفاده کنند.

به نقل از هکرنیوز، این تجزیه و تحلیل، با هدف شناسایی و ارزیابی خطرات و آسیب پذیری های موجود در 5G، در روز دوشنبه توسط آژانس امنیت ملی ایالات متحده (NSA)، با مشارکت دفتر مدیریت اطلاعات ملی (ODNI) و دپارتمان امنیت میهن (DHS) آژانس امنیت سایبری و امنیت زیرساخت (CISA) منتشر گردیده است.

در این گزارش آمده است: "با انتشار سیاست ها و استانداردهای جدید 5G، احتمال تهدیداتی که کاربر نهایی را تحت تأثیر قرار می دهد همچنان وجود دارد. به عنوان مثال، ممكن است حکومت ها سعی كنند تأثیر اندکی بر استانداردهایی وارد كنند كه به نفع فناوری های اختصاصی آنها باشد و انتخاب مشتریان را برای استفاده از سایر تجهیزات یا نرم افزار محدود كند".

 در این گزارش بخصوص به نفوذ بی مورد ملت های متخاصم در ایجاد استانداردهای فنی اشاره شده است که ممکن است زمینه را برای استفاده از فناوری ها و تجهیزات اختصاصی غیرقابل اعتماد که بروزرسانی، تعمیر و جایگزینی آنها دشوار است فراهم کند. در این گزارش موارد نگران کننده دیگری نیز وجود دارد. کنترل های امنیتی اختیاری که در پروتکل های ارتباط از راه دور نهفته است، که اگر توسط اپراتورهای شبکه اجرا نشود، میتوانند فضا را برای حملات مخرب آزاد بگذارند.

دومین زمینه نگرانی که توسط NSA، ODNI و CISA به شکل برجسته اشاره شده، زنجیره تأمین است. اجزای خریداری شده از تأمین کنندگان، فروشندگان و ارائه دهندگان خدمات شخص ثالث می توانند تقلبی بوده یا در معرض خطر قرار گیرند و با نقص امنیتی و بدافزاری که در مراحل اولیه توسعه وارد میشوند، عاملان تهدید را قادر می سازد تا در مراحل بعدی از آسیب پذیری ها سوءاستفاده کنند.

بر اساس این آنالیز، اجزای تقلبی به خطر افتاده می تواند عامل مخرب را قادر سازد که بر محرمانه بودن، یکپارچگی یا در دسترس بودن اطلاعاتی که از طریق دستگاه ها رد و بدل میشود، تأثیر بگذارد و به صورت جانبی به سایر قسمتهای حساس شبکه منتقل شود.

این فاکتور همچنین می تواند به شکل حمله زنجیره تامین نرم افزار باشد که در آن کد مخرب به شکلی هدفمند به ماژولی که به سمت کاربر هدف روانه میشود، با آلوده کردن مرکز کد منبع یا ربودن کانال توزیع، اضافه میگردد. که بدین طریق به کاربران آگاه و قربانی اجازه می دهد تا مولفه های خطرآفرین را در شبکه هایشان اجرا کنند.

در آخر، نقاط ضعف موجود در شاکله 5G می تواند به عنوان نقطه پرشی برای اجرای انواع حملات مورد استفاده قرار گیرد. در این میان نیاز به پشتیبانی از زیرساخت ارتباطی قدیمی 4G وجود دارد که همراه با مجموعه ای از کاستی ها را بصورت ذاتی در خود دارد که می تواند توسط عاملان حملات مخرب مورد سوءاستفاده قرار گیرد. مورد دیگر، مسئله مدیریت نادرست اسلایس ها است که می تواند به دشمنان اجازه دهد داده ها را از اسلایس های مختلف بدست آورند و حتی دسترسی مشترکان را نیز مختل نمایند.

در یک مطالعه که توسط ادپتیو موبایل در مارس 2021 منتشر شد، نشان داد که نقص های امنیتی در مدل اسلایس که می تواند برای دسترسی به داده ها و انجام حملات DoS بین برش های مختلف شبکه، در ساختار شبکه 5G اپراتور تلفن همراه ، دوباره استفاده شود.

در این گزارش مفصل آمده است: "سیستم های 5G برای رسیدن به پتانسیلشان، به مکمل فرکانس های طیف مختلف (پایین، متوسط ​​و بالا) نیاز دارند، زیرا هر نوع فرکانس مزایا و چالش های منحصر به فردی را ارائه می دهد. با افزایش تعداد دستگاه هایی که برای دستیابی به همان طیف رقابت می کنند، اشتراک گذاری این طیف فرکانس ها در حال رواج یافتن است. به اشتراک گذاری طیف ممکن است فرصت هایی را برای عاملان حملات مخرب فراهم کند تا در مسیرهای ارتباطی غیرقابل کنترل تداخل ایجاد کرده و مداخله کنند، که این امر بر شبکه های مهم ارتباطاتی تأثیر  بسزایی می گذارد".

در بررسی و شناسایی سیاست ها و استانداردها، زنجیره تأمین و شاکله سیستم های 5G به عنوان سه عامل اصلی تهدید بالقوه، هدف ارزیابی خطرات ناشی از انتقال به فناوری بی سیم جدید و همچنین اطمینان از استقرار زیرساخت های 5G ایمن و مطمئن است.

آژانس ها امنیتی اعلام کرده اند: "این تهدیدها و آسیب پذیری ها می تواند توسط عوامل تهدیدات مخرب برای تأثیر منفی بر سازمانها و کاربران استفاده شود. بدون تمرکز مداوم بر روی الگوها، جهتگیری ها و ساختارهای تهدید و مخاطرات شبکه 5G و شناسایی زود هنگام نقاط ضعف در ساختار سیستم، آسیب پذیری های جدید، تأثیر حوادث سایبری را به شکل قابل ملاحظه ای افزایش می دهند".