IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

HTTP

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

جزئیات افشا شده از نقایص حیاتی نرم افزار نظارتی Nagios

takian.ir critical flaws affecting nagios it monitoring software

محققان امنیت سایبری جزئیات مربوط به 13 آسیب پذیری در برنامه نظارت بر شبکه Nagios (ناگیوس) را فاش کرده اند که می تواند توسط مهاجم و بدون دخالت هیچگونه اپراتوری، زیرساخت ها را هدف سوءاستفاده و سرقت قرار دهد.

آدی اشکنازی، مدیر عامل شرکت امنیت سایبری استرالیایی سایبر اسکای لایت به خبرگزاری ها گفته است: "در ساختار یک شرکت ارتباطاتی، در جایی که آن شرکت هزاران سایت را زیر نظر دارد و آنها را مانیتور میکند، اگر یک سایت مشتری به طور کامل به خطر بیفتد، مهاجم می تواند از مجموعه آسیب پذیری ها برای به خطر انداختن آن مجموعه ارتباطاتی و همچنین هر سایت مشتری نیز که تحت نظارت است، سوءاستفاده کند".

 ناگیوس یک ابزار زیرساختی فناوری اطلاعات متن باز مشابه SolarWinds Network Performance Monitor (NPM) است که خدمات نظارت و هشدار را برای سرورها، کارت های شبکه، برنامه ها و خدماتی ها ارائه می دهد.

به نقل از هکر نیوز، این مسائل شامل ترکیبی از اجرای کد معتبر از راه دور (RCE) و نقص تشدید امتیاز، کشف و به ناگیوس در اکتبر سال 2020 گزارش شده و پس از آن در ماه نوامبر اصلاح شده است.

اصلی ترین آنها CVE-2020-28648 (CVSS score: 8.8) است، که مربوط به اعتبار ورودی نامناسب در مولفه کشف خودکار Nagios XI است که محققان از آن به عنوان نقطه پرشی برای ایجاد زنجیره بهره برداری استفاده می کنند که در مجموع پنج آسیب پذیری برای دستیابی به "حمله بزرگ بالادستی" را اجرا میکند.

محققان در مقاله ای که هفته گذشته منتشر کردند، گفته اند: "در واقع اگر ما، به عنوان مهاجم، با سایت مشتری روبرو شویم که با استفاده از سرور Nagios XI تحت نظارت است، می توانیم سرور مدیریت شرکت ارتباط از راه دور و هر مشتری دیگری را که تحت نظارت است ، به خطر بیندازیم".

اگر متفاوت بنگریم، سناریوی حمله با هدف قرار دادن سرور Nagios XI در سایت مشتری، با استفاده از CVE-2020-28648 و CVE-2020-28910 برای به دست آوردن RCE و افزایش امتیازات روت کار می کند. با سروری که در حال حاضر به خطر افتاده است، دشمن می تواند داده های آلوده را به سرور بالادست Nagios Fusion که با استفاده از نمونه گیری دوره ای از سرورهای Nagios XI، برای ایجاد دید گسترده در سطح زیرساخت ها استفاده می شود، ارسال کند.

سمیر غانم، محقق سایبر اسکای لایت گفت: "با آلوده کردن داده های برگشتی از سرور XI تحت کنترلمان، می توانیم اسکریپت نویسی بین سایت [CVE-2020-28903] را راه اندازی کرده و کد جاوا اسکریپت را در متن کاربر Fusion اجرا کنیم".

در مرحله بعدی حمله، مهاجم از این توانایی برای اجرای کد جاوا اسکریپت دلخواه در سرور Fusion برای بدست آوردن RCE (CVE-2020-28905) و متعاقباً افزایش مجوزها (CVE-2020-28902) برای به دست گرفتن کنترل سرور Fusion استفاده می کند و در نهایت، به سرورهای XI واقع در سایتهای دیگر مشتری ها نفوذ میکند.

محققان همچنین ابزار پسابهره برداری مبتنی بر PHP به نام SoyGun را منتشر کرده اند که آسیب پذیری ها را با هم پیوسته و متصل می کند و به مهاجم با اعتبار کاربر Nagios XI و دسترسی HTTP به سرور Nagios XI این اجازه را می دهد تا کنترل کامل استقرار در Nagios Fusion را به دست گیرد.

خلاصه ای از این 13 آسیب پذیری در ذیل آمده است:

  • CVE-2020-28648 - Nagios XI - اجرای کد معتبر از راه دور (از محتوای کاربر با اختیارات پایین)
  • CVE-2020-28900 - افزایش اختیارات Nagios Fusion و XI از nagios به روت از طریق upgrade_to_latest.sh
  • CVE-2020-28901 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق تزریق دستور در پارامتر component_dir در cmd_subsys.php
  • CVE-2020-28902 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق تزریق دستور در پارامتر منطقه زمانی در cmd_subsys.php
  • CVE-2020-28903 - XSS در Nagios XI هنگامی که یک مهاجم کنترل یک سرور فیوز شده را کنترل می کند
  • CVE-2020-28904 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق نصب اجزاهای مخرب
  • CVE-2020-28905 - Nagios Fusion - اجرای کد معتبر از راه دور (از محتوای کاربر با اختیارات پایین)
  • CVE-2020-28906 - افزایش اختیار Nagios Fusion و XI از nagios به root از طریق اصلاح fusion-sys.cfg / xi-sys.cfg
  • CVE-2020-28907 - افزایش اختیار Nagios Fusion از apache به روت از طریق upgrade_to_latest.sh و اصلاح پیکربندی پروکسی
  • CVE-2020-28908 - افزایش اختیار Nagios Fusion از apache به nagios از طریق تزریق دستور (ناشی از پاکسازی ناکافی) در cmd_subsys.php
  • CVE-2020-28909 - افزایش اختیار Nagios Fusion از nagios به روت از طریق تغییر اسکریپت هایی که می توانند به عنوان sudo اجرا شوند
  • CVE-2020-28910 - افزایش اختیار Nagios XI getprofile.sh
  • CVE-2020-28911 - افشای اطلاعات Nagios Fusion: در صورت ذخیره اعتبارنامه، کاربر دارای اختیار کمتر می تواند در سرور فیوز شده احراز هویت شود

با توجه به اینکه در سال گذشته SolarWinds قربانی یک حمله مهم زنجیره تأمین شد، مشخص گردید که هدف قرار دادن سیستم نظارت بر شبکه مانند Nagios می تواند یک عامل مخرب را قادر سازد تا نفوذ به شبکه های سازمانی را گسترش داده، دسترسی خود را از طریق شبکه فناوری اطلاعات به طور جانبی گسترش دهد و به سرآغازی برای تهدیدات پیچیده تر تبدیل شود .

غانم افزود: "میزان تلاش و کوشش لازم برای یافتن این آسیب پذیری ها و بهره برداری از آنها در زمینه مهاجمان پیچیده و به ویژه امنیت ملی، بسیار ناچیز بوده است".

"اگر ما می توانستیم این كار را به عنوان یك پروژه جانبی سریع انجام دهیم، تصور كنید چقدر این کار برای افرادی كه تمام وقت خود را صرف توسعه این نوع سوءاستفاده ها می كنند، ساده میبود. این مورد را با تعداد مراکز داده ها، ابزارها و تامین کنندگانی كه در حال حاضر هستند و می توان از آنها در یک شبکه مدرن استفاده كرد، تجمیع كنید؛ و ما یک مسئله اساسی در دست داریم".

سهم بیش از 25% رله های خروجی Tor در جاسوسی از فعالیت های کاربران در دارک وب

 takian.ir tor exiting relays control main

مطالعه جدیدی در مورد زیرساخت های دارک وب افشا کرده است که یک عامل تهدید ناشناخته در اوایل فوریه 2021 بیش از 27 درصد از کل ظرفیت خروجی شبکه Tor را کنترل کرده است.

یک محقق امنیتی مستقل که از او با nusenu نام برده شده است، در متنی که روز یکشنبه منتشر شده، اعلام کرده است که: "نهادی که به کاربران Tor حمله می کند، از بیش از یک سال پیش بصورت فعالانه از کاربران Tor بهره برداری می کند و دامنه حملات آنها را به سطح اطلاعاتی جدیدی ارتقا داده است. متوسط ​​نرخ خروجی که این نهاد در طول 12 ماه گذشته کنترل کرده، بالای 14٪ بوده است".

به گزارش هکرنیوز، این آخرین مورد از مجموعه تلاشهایی است که برای آشکار کردن فعالیتهای مخرب Tor از دسامبر 2019 انجام شده است. حملاتی که گفته می شود در ژانویه 2020 آغاز شده است و برای اولین بار توسط همان محقق در اوت 2020 مستندسازی و افشا شده است.

Tor یک نرم افزار متن باز برای امکان برقراری ارتباط ناشناس در اینترنت است. این مبدا و مقصد، درخواست وب را با هدایت ترافیک شبکه از طریق یک سری رله ها مخفی می کند تا آدرس IP و مکان و موارد استفاده کاربر را از هرگونه نظارت یا تجزیه و تحلیل ترافیک پنهان کند. در حالی که رله های میانی معمولاً از دریافت ترافیک در شبکه Tor مراقبت می کنند و آن را عبور می دهند، رله خروجی گره نهایی است که ترافیک Tor قبل از رسیدن به مقصد از آن عبور می کند.

گره های خروجی در شبکه Tor در گذشته برای تزریق بدافزارهایی مانند OnionDuke تحت تاثیر قرار گرفته بودند، اما این اولین بار است که یک عامل ناشناس موفق به کنترل چنین بخش بزرگی از گره های خروجی Tor می شود.

takian.ir tor exiting relays control 1

 

سازمان یا گروه هک کننده، 380 رله خروج مخرب Tor را در پیک خود در آگوست 2020 و قبل از اینکه دایرکتوری Tor مداخله کرده و گره ها را از شبکه حذف کند، نگهداری کردند. به دنبال آن فعالیت در اوایل سال جاری دوباره آغاز شد و مهاجم تلاش کرد بیش از 1000 رله خروجی را در هفته اول ماه مه، اضافه کند. همه رله های خروجی مخرب Tor که در جریان موج دوم حملات شناسایی شده بودند، حذف شده اند.

takian.ir tor exiting relays control 2

به گفته nusenu، هدف اصلی این اقدامات، انجام حملات "man-in-the-middle" بر علیه کاربران Tor و با دستکاری در ترافیک عبوری از شبکه رله های خروجی آنها است. به ویژه به نظر می رسد مهاجم از آنچه که SSL stripping شناخته میشود، برای کاهش میزان ترافیک به سمت سرور میکسر Bitcoin از HTTPS به HTTP اقدام می کند، و طی حرکتی آدرس های بیتکوین را جایگزین کرده و معاملات را به جای آدرس بیت کوین که توسط کاربر ارائه می شود، به کیف پول الکترونیکی خود هدایت کند.

محققین پشتیبانی پروژه Tor در ماه آگوست تشریح کردند که: "اگر کاربری از نسخه HTTP (یعنی نسخه رمزگذاری نشده و تأیید نشده) یکی از این سایتها بازدید کند، آنها از هدایت کاربر به نسخه HTTPS (یعنی نسخه رمزگذاری شده و تأیید شده) سایت جلوگیری می کنند. اگر کاربر متوجه نشود که در نسخه HTTPS سایت (که هیچگونه آیکون قفل در مرورگر وجود ندارد) بوده و اقدام به ارسال یا دریافت اطلاعات حساس کند، این اطلاعات توسط مهاجم قابل رهگیری میباشد".

برای کاهش چنین حملاتی، پروژه Tor توصیه های را شرح داده است؛ از جمله اصرار به مدیران وب سایت ها برای فعال کردن پیش فرض HTTPS و استقرار سایت های .onion برای ممانعت گره های خروج و اضافه کردن این برنامه به "comprehensive fix" جهت غیرفعال کردن HTTP ساده در مرورگر Tor است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژوئیه سال 2020 در یک توصیه اعلام کرد: "خطر آلودگی به عنوان هدف سوءاستفاده از طریق Tor برای هر سازمان منحصر به فرد است. یک سازمان باید ریسک خطر خود را با ارزیابی احتمال اینکه عامل تهدید، سیستم ها یا داده های آن را هدف قرار میدهد و احتمال اینکه موفقیت عامل حملات باعث از دست دادن کنترل و کاهش امکان مدیریت شرایط میشود، در نظر بگیرد".

این مجموعه افزود: "سازمان ها باید تصمیمات کاهش مخاطرات خود را در برابر تهدیدات سازمانی خود از طریق تهدیدهای مداوم پیشرفته (APT)، مهاجمان نسبتاً پیشرفته و هکرهای مستقل با مهارت کم که همه آنها از Tor برای انجام شناسایی و حملات در گذشته استفاده کرده اند، ارزیابی نمایند".

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

کروم به زودی استفاده از HTTPS را در اولویت قرار میدهد

 

اگر کاربران آدرسی را تایپ کرده و فراموش کنند که پیشوند HTTP یا HTTPS را درج نمایند، گوگل کروم به طور پیش‌فرض از HTTPS استفاده خواهد کرد.

مهندسان گوگل در طی چند سال گذشته جز سرسخت ترین ترویج کنندگان و عرضه کنندگان بسته های امنیتی در بین سایر مرورگرها بوده اند و همراه با تیم های پشتیبان مرورگرهای Firefox و Tor، اغلب در پشت پرده بسیاری از تغییراتی بوده اند که باعث شکل دادن مرورگرها به آنچه که امروز هستند، شده اند.

از ویژگی های پیشگامانه و آوانگارد آن مانند ایزولاسیون سایت و کار در پشت صحنه در فروم CA/B تا بهبود وضعیت گواهینامه تجاری TLS، همه ما مدیون تلاش های تیم کروم هستیم.

اما یکی از بزرگترین موارد مورد علاقه مهندسین کروم طی چند سال گذشته، تلاش برای ترویج استفاده از HTTPS، چه در درون مرورگر کروم، و چه در بین گردانندگان و صاحبین وبسایت ها بوده است.

به عنوان بخشی از این تلاش ها، کروم اکنون تلاش می کند تا در صورت در دسترس بودن HTTPS، سایت ها را از HTTP به HTTPS بروزرسانی کرده و ارتقا دهد.

کروم همچنین به کاربرانی که می خواهند رمز عبور یا اطلاعات کارت بانکی خود را در صفحات HTTP نا ایمن وارد کنند، از آنجا که ممکن است درون شبکه به شکل متن ساده ارسال شوند، اخطار و هشدار می دهد.

اگر نشانی اینترنتی صفحه HTTPS باشد، کروم بارگیری از منابع HTTP را نیز، برای جلوگیری از فریب کاربران در مورد ایمنی ظاهری دانلود از آن نشانی ها که در اصل امن نیستند، مسدود می کند.

تغییراتی درOMNIBOX کروم که در نسخهV90 میشوند

اما حتی اگر حدود 82٪ از کل سایت های اینترنتی با HTTPS کار کنند، این تعداد تا زمانی که بتوان ادعای امنیت اکثریت را مطرح کرد، فاصله زیادی دارد. جدیدترین تغییرات اولیه HTTPS در کروم نسخه 90 برقرار میشود که برنامه ریزی شده است تا در اواسط آوریل سال جاری منتشر شود.

این تغییر بر کروم Omnibox تأثیر بسزایی میگذارد (نامی که گوگل از آن برای توصیف نوار آدرس کروم (URL) استفاده می کند).

در نسخه های فعلی، وقتی کاربران آدرسی را در Omnibox تایپ می کنند، کروم آدرس تایپ شده را صرف نظر از پروتکل آن، بارگیری می کند. اما اگر کاربران فراموش کنند پروتکل را (HTTP یا HTTPS) تایپ کنند، کروم "http://" را جلوی متن اضافه می کند و سعی می کند دامنه را از طریق HTTP بارگیری نماید.

به عنوان مثال، تایپ چیزی مانند "domain.com" در نسخه فعلی کروم، "http://domain.com" را بارگیری می کند.

طبق گفته مهندس امنیتی کروم، امیلی استارک، این ویژگی در کروم نسخه 90 تغییر خواهد کرد. با شروع عرضه نسخه 90، Omnibox تمام دامنه هایی که بر مبنای HTTP باشند، به جای "http://"، با HTTPS بارگیری و لود خواهد کرد.

استارک این هفته در توییتر خود توضیح داد: "در حال حاضر، این طرح به صورت آزمایشی برای درصد كمی از كاربران کروم با نسخه 89 اجرا می شود و اگر کاملا طبق برنامه پیش برود، در نسخه کروم 90 به طور کامل راه اندازی خواهد شد".

کاربرانی که مایل به آزمایش این ساز و کار جدید هستند، می توانند این کار را در حال حاضر از طریق Chrome Canary انجام دهند. آنها می توانند از طریق آدرس زیر به قسمت Flag کروم مراجعه کرده و این ویژگی را فعال نمایند:

chrome://flags/#omnibox-default-typed-navigations-to-https

takian.ir chrome flags entry