IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

SIEM

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

سوء استفاده هکرها از روترهای لبه شبکه

اخبار و گزارش های جدید سایت ها  تحلیلی و پایگاه های خبری حاکی از آن هست که در سال 2018 سوء استفاده از Takian.ir hacking routerروتر های شبکه افزایش یافته است و از روتر های شبکه ها به عنوان یکی از ابزار های اصلی در چرخه حمله  استفاده شده است. از نمونه  های بسیار مهم می توان به حملات گروه هکری  Slingshot APT  اشاره کرد که از  روتر های میکروتیک برای آلوده کردن هاست ها در زیر ساخت سایبری داعش استفاده کرد. البته اینکه آیا از این آسیب پذیری برای کشور های دیگر از جمله ایران استفاده نکرده باشد هنوز مشخص نشده است. نمونه دیگر استفاده Inception Framework APT از روتر های خانگی برای ایجاد شبکه ای از Proxy های تو در تو هست که می توانند خود را پشت آنها پنهان کنند. از نمونه های قدیمی تر می توان به حمله به روتر های سیسکو توسط SYNful Knock اشاره کرد که توسط Fireeye شناسایی شد.  آخرین مثال هم استفاده گروه LuckyMouse APT از روتر ها به عنوان C&C های خود بوده است. 

البته  ما همه می دانیم که این ها مثال های کشف شده از سوء استفاده از تجهیزات روتر می باشد و ممکن است، شاید بهتر است بگوییم به احتمال زیاد، راه کار هایی متعدد کشف یا شناخته نشده ای توسط نفوذگران استفاده می شوند که می توانند ریسک های امنیتی متعددی را برای ما ایجاد کنند.

با توجه به آنچه گفته شد نکات زیر در این مورد قابل توجه است :

  • همواره از آخرین آسیب پذیری های مربوط به تجهیزات خود مطلع باشید و در صورت مشاهده یک آسیب پذیری با درجه اهمیت Critical یا High نسبت استفاده از Workaround اعلام شده اقدام کنید. در صورت نشر سیستم عامل یا Firmware تجهیز نیز در حداقل زمان اقدام کرده و بروز رسانی کنید. حمله به Smart Install شرکت سیسکو در فاصله کمتر از 10 روز نمونه بسیار خوبه از اهمیت سرعت عمل در واکنش ما است. این رصد می تواند توسط CERT یا SOC توسط Feed های موجود یا بررسی های فردی انجام شود.
  • حتما سیستم عامل و Firmware های خود را از سایت معتبر تهیه و قبل از نصب Hash آن را با سایت اصلی مقایسه کنید. سیستم عامل های Backdoor شده یکی از راه های نفوذ اصلی در دسترسی به روتر ها محسوب می شوند.
  • تمام دسترسی های مدیریتی از راه دور به تجهیزات خود را مسدود یا محدود کنید. نمونه این قابلیت ها Control Plane Policy در روتر های سیسکو می باشد. به علاوه ، لاگ های مربوط به دسترسی را ثبت کرده و آن ها را بررسی کنید.
  • در صورت امکان از یک راه کار Packet analyzer یا IPS ( به صورت Passive یا حتی Tap) در مسیر ارتباطی به روتر خود استفاده کنید و تمامی حملات به پروتکل ها یا دسترسی های غیر مجاز به سمت خود تجهیز روتر را رصد کنید و تجهیزات IPS خود را بگونه ای تنظیم کنید که لاگ های مربوط را به سمت SIEM ، ابزار مدیریت لاگ یا هر ابزار دیگری با قابلیت مشابه ارسال کند. 
  • چک لیست های مربوط به Hardening را پیاده سازی کنید و خطاهای تنظیمات را به حداقل برسانید.
  • تغییرات تنظیمات را به صورت مستمر رصد کنید و در صورتی مشاهده تنظیمات مشکوک یا غیر مجاز بلافاصله نسبت به آن واکنش دهید

محققین امنیتی خبر از وجود یک باگ VMware با امکان اجرای دستورات از راه دور را میدهند

 

به گزارش سکیوریتی مگزین، یکی از کارشناسان کمپانی پازیتیوز تکنولوجیز با نام ایگور دیمیترنکو یک آسیب پذیری جدی و بزرگ در ابزار تکثیر اطلاعات VMware vSphere Replication را کشف کرده است. این ابزار به سازمان ها امکان میدهد تا از ماشین های مجازی نسخه پیشتیبان تهیه کرده و در صورت بروز مشکل در ماشین مجازی اصلی، آنها را اجرا نمایند. این نقص و باگ به مهاجمین اجازه دسترسی به رابط مدیریتی تحت وب VMware vSphere Replication را میدهد که در پی آن کدهای دلخواه را بر روی سرور با حداکثر اختیارات اجرا کرده و همچنین اعمال ثانوی ای را آغاز کنند تا کنترل و مدیریت کامل زیرساخت های سازمان ها را به دست بگیرند.

خبر خوب اینکه VMware این آسیب پذیری را که امکان اجرای فرامین از راه دور بر روی سرور را فراهم میکرد، برطرف کرده است. نقص امنیتی با نام CVE-2021-21976 شناخته می شود و دارای نسخه CVSS v3 سری 7.2 است.

ایگور دیمیترنکو توضیح میدهد: "آسیب پذیری هایی که امکان اجرای این نوع حملات (Command Injection) را میدهند، اغلب در محصولاتی که برای مدیریت ایجاد شده اند، یافت میشوند". وی می افزاید: "چنین خطاهایی معمولا به دلیل تایید ناکافی اطلاعات ورودی کاربر ایجاد میشود، که به متعاقب آن در محتوای فراخوان فرمان سیستم قرار میگیرد. مکانیسم هایی برای جلوگیری از چنین حملاتی معمولا در ابزار توسعه دهنده در نظر گرفته شده و تعبیه شده اند تا از احتمال بروز خطا در کدها محافظت نمایند. با این وجود، هنوز ناهنجاری ها و مشکلاتی در کدها اتفاق می افتد؛ به عنوان مثال،  هنگام اجرای سریع کارها و فرامین جدید و یا در راستای حل و فصل سریع یک مشکل که وجود دارد، چنین خطاهایی حادث میشوند. جهت بهره برداری و سواستفاده از آسیب پذیری موجود در محصول VMware، مهاجمین نیازمند مدارک و شناسه معتبری هستند که اینها را میتوان به دلیل استفاده از رمز عبورهای ضعیف و ساده و یا با استفاده از مهندسی اجتماعی، به سادگی به دست آورد".

سازمان ها میبایست جهت رفع این آسیب پذیری، توصیه های اعلام شده رسمی VMware را به کار ببندند. در صورت امکان پذیر نبودن به روز رسانی، سازمان ها و نهادها میتوانند با استفاده از راهکار SIEM، علائم نفوذ را که به طبع به شناسایی رفتار مشکوک در سرور کمک میکند را شناسایی نمایند. در پی آن این نفوذ و عمل مشکوک را ثبت کرده و از جابجایی و نفوذ هر چه بیشتر متجاوز و مهاجم به درون شبکه آن سازمان در سریعتر زمان ممکن جلوگیری کنند.

در سپتامبر 2020، پازیتیو تکنولوجیز آسیب پذیری های همان کلاس (امکان Command Injection) را در PAN-OS، سیستم عامل مورد استفاده توسط فایروال های نسل بعدی Palo Alto Networks، کشف کرد.