سه آژانس امنیتی آمریکا گزارش مشترکی را برای افشا و جلبتوجه به پنج آسیبپذیری در تجهیزات سازمانی منتشر کردهاند که میگویند هکرهای دولت روسیه برای نفوذ شبکههای شرکتی و دولتی در حال استفاده از آنها هستند.
آسیبپذیری در Fortinet و Citrix
سازمانها در معرض چند آسیبپذیری جدی امنیتی قرار دارند
مرکز مدیریت راهبردی افتا , 1 ارديبهشت 1400 ساعت 17:03
سه آژانس امنیتی آمریکا گزارش مشترکی را برای افشا و جلبتوجه به پنج آسیبپذیری در تجهیزات سازمانی منتشر کردهاند که میگویند هکرهای دولت روسیه برای نفوذ شبکههای شرکتی و دولتی در حال استفاده از آنها هستند.
سه آژانس امنیتی آمریکا گزارش مشترکی را برای افشا و جلبتوجه به پنج آسیبپذیری در تجهیزات سازمانی منتشر کردهاند که میگویند هکرهای دولت روسیه برای نفوذ شبکههای شرکتی و دولتی در حال استفاده از آنها هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آژانس امنیت سایبری و زیرساخت (CISA)، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) آمریکا بهجای هویت واقعی هکرهای روسی از SVR نام بردند به آن دلیل که این گزارش مشترک همزمان با مجموعه گسترده تحریمهای اقتصادی علیه دولت روسیه باشد.
در این تحریمها، دولت بایدن رسماً SVR ( سرویس اطلاعات خارجی روسیه) و واحدهای هکری آن را به سازماندهی حمله زنجیره تأمین SolarWinds متهم کرد.
گزارش مشترک امنیتی برای افشای تاکتیکهای اضافی بود که SVR امروز نیز برای حمله به شبکههای خصوصی و عمومی آمریکا و متحدانش استفاده میکند.
CISA ، FBI و NSA گفتند که SVR به طور مکرر شبکههایی را برای سیستمهایی که برای آسیبپذیریهای شناخته شده است را اسکن میکند و در تلاش برای بهدستآوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
آسیبپذیریهای هدفمند شامل موارد زیر هستند:
۱- CVE-۲۰۱۸-۱۳۳۷۹ - Fortinet’s FortiOS
۲- CVE-۲۰۱۹-۹۶۷۰ - Zimbra
۳- CVE-۲۰۱۹-۱۱۵۱۰ - VPN Pulse Secure
۴- CVE-۲۰۱۹-۱۹۷۸۱ - Citrix ADC
۵- CVE-۲۰۲۰-۴۰۰۶ - VMware Workspace ONE Access
تمام این پنج آسیبپذیری کاملاً شناخته شده است واز آنها قبلاً در حملات مهاجمان دولت ملی و گروههای جرایم اینترنتی استفاده شده است.
بهعنوانمثال، طبق هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR از چهار آسیبپذیری اول لیست بالا برای هدف قراردادن و نفوذ شبکههای شرکتهای فعال در ساخت واکسن COVID-۱۹ استفاده کرده بود.
NSA همچنین در دسامبر سال ۲۰۲۰ یک راهنمای امنیتی منتشر کرد که به شرکتهای آمریکایی هشدار میداد که هکرهای روسی از، آسیبپذیری VMWare بعنوان پنجمین باگ سوءاستفاده میکنند.
پیشازاین، NSA همچنین در اکتبر ۲۰۱۹ به شرکتها و سازمانهای دولتی ایالات متحده هشدار داده بود که مهاجمان دولت روسیه از باگهای Fortinet و Pulse Secure VPN برای نفوذ به شبکه استفاده میکنند.
آسیبپذیری citrix همچنین در لیست NSA از باگهای مهم مورد سوءاستفاده دولتهای ملی برای وب شل قرار گرفت.
NSA در بیانیه مطبوعاتی گفت: کاهش اثر این آسیبپذیریها بسیار مهم است، زیرا ایالات متحده و شبکههای متحدان آن به طور مداوم توسط مهاجمان سایبری تحت حمایت دولت روسیه اسکن، هدفگیری و مورد بهرهبرداری قرار میگیرند.
این سه آژانس بهمنظور خرابکاری در عملیات هک کردن خارجی، معمولاً طی دو - سه سال گذشته گزارشهای مشابه منتشر کردهاند.
در زیر لیستی از آسیبپذیریهای مشترک که به طور فعال توسط مهاجمان SVR مورد سوءاستفاده قرار میگیرد آورده شده است.
پنج آسیبپذیری نرمافزارمورد سوءاستفاده هکرهای SVR
بر اساس این هشدار NSA ، CISA و FBI به متولیان امنیت سایبریتوصیه میکنند تا شبکههای خود را از نظر شاخص سازش مربوط به هر پنج آسیبپذیری و تکنیکهای تفصیلی در گزارش بررسی کرده و اقدامات فوری را انجام دهند.
راهکارهای عمومی جهت جلوگیری از حملات
۱. سیستمها و محصولات را بهروز نگه دارید و دراسرعوقت بهروزرسانی کنید. چراکه بسیاری از مهاجمان از آسیبپذیریهای متعدد استفاده میکنند.
۲. پیشبینی اینکه قبل از وصله دستگاه، خطر ناشی از دادههای به سرقت رفته یا اصلاح شده (از جمله اطلاعات کاربری، حسابها و نرمافزارها) با اقدامات وصله گذاری یا اصلاح ساده برطرف نخواهد شد.
۳. قابلیتهای مدیریت خارجی را غیرفعال کنید و یک مدیریت شبکه out-of-band راهاندازی کنید.
۴. پروتکلهای منسوخ یا استفاده نشده را در لبه شبکه مسدود کنید و آنها را در تنظیمات دستگاه غیرفعال کنید.
۵. جهت کاهش دسترسی به شبکه داخلی، سرویسهای سمت اینترنت را در یک شبکه DMZ ایزوله کنید.
۶. لاگ قوی در سرویسهای سمت اینترنت پیادهسازی کنید و توابع احراز هویت را فعال کنید. به طور مداوم علائم نفوذ یا سوءاستفاده از اعتبارنامه، بهویژه در محیطهای ابر را بررسی کنید.
۷. تصور کنید که نفوذ اتفاق میافتد. برای فعالیتهای پاسخگویی به حوادث آماده شوید، فقط در مورد کانالهای out-of-band ارتباط برقرار کنید.
تکنیکهای استفاده شده توسط مهاجمان SVR
بهرهبرداری از برنامههای عمومی
مهاجمان ممکن است سعی کنند از یک نقطهضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرمافزار، دادهها یا دستورات استفاده کنند تا رفتار ناخواسته یا پیشبینینشدهای ایجاد کنند.
استفاده از خدمات از راه دور خارجی
ممکن است مهاجمان از سرویسهای از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده میکنند، کمک بگیرند.
سرویسهای از راه دور مانند VPN ها، Citrix و سایر مکانیزمهای دسترسی بهویژه PRD که به کاربران امکان میدهند از مکانهای خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.
نفوذ به زنجیرههای تأمین
مهاجمان ممکن است محصولات یا مکانیسمهای تحویل محصول را قبل از دریافت توسط مصرفکننده نهایی برای نفوذ با داده یا سیستم دستکاری کنند.
استفاده از حسابهای معتبر
مهاجمان ممکن است اعتبار حسابهای موجود را بهعنوان وسیلهای برای دستیابی یا افزایش مجوزها به دست آورند و سوءاستفاده کنند.
بهرهبرداری از نرمافزار برای دسترسی به اعتبارنامه
ممکن است مهاجمان در تلاش برای جمعآوری اعتبارنامه، از آسیبپذیریهای نرمافزار سوءاستفاده کنند.
جعل مدارک وب
توکنهای SAML اگر یک گواهینامه معتبر امضای SAML داشته باشد، یک مهاجم میتواند توکنهای SAML را با هرگونه مجوز و طول عمری جعل کند.
کد مطلب: 17756