محیط مورد حمله قرار گرفته است.
در طی 8 ماه گذشته ، آسیب پذیری های به راحتی قابل بهره برداری زیرساخت های حاشیه ای پیرامون ، از بهره برداری های وحشی در برابر نقص مهم در برنامه BIG-IP F5 را گرفتار کرده اند. نرم افزار تحویل برای مهاجمان باجگیر که از استفاده از آسیب پذیری در وسایل شبکه خصوصی مجازی Pulse Secure (VPN) استفاده می کنند.
این حملات اغلب سخت افزار و نرم افزار را به معنای تأمین محیط پیرامون ساحل مهاجمان به شبکه تبدیل می کنند. دو روز پس از آنکه F5 در تاریخ اول ژوئیه مشاوره اولیه ای درباره آسیب پذیری در دستگاه تحویل برنامه کاربردی BIG-IP خود (CVE-2020-5902) ارسال کرد ، مهاجمان پیش از این اسکن گسترده ای را برای این موضوع آغاز کرده بودند ، به دنبال سیستم هایی بودند که در معرض آسیب پذیری مدیریت ترافیک قرار گیرند. رابط کاربری (TMUI).
از آنجا که آسیب پذیری مهم برای بهره برداری ناچیز بود ، F5 مشاوره خود را طی چند روز با مشاوره صریح به روز کرد: اگر تاکنون تسویه حساب نکرده اید ، شرکت خود را هک کنید.
"اگر سیستم BIG-IP شما دارای TMUI است اینترنت ، و نسخه ثابت نرم افزار آن نصب نشده است ، احتمال زیادی وجود دارد که به خطر بیافتد و شما باید مراحل پاسخگویی به حوادث داخلی خود را دنبال کنید. "این شرکت اظهار داشت:
هیچ دلیل واحدی برای آن وجود ندارد. یوهانس اولریش ، معاون تحقیقات در موسسه فناوری SANS گفت: چندین روند باعث شده احتمال آسیب پذیری ها در آنها پیدا شود و مورد حمله قرار گیرند. از آنجا که نسخه های کانتینر شده از تجهیزات اغلب در دسترس است ، محققان امنیتی می توانند با سهولت بیشتری محیطی را برای خودکار کردن جستجوی آسیب پذیری ها تنظیم کنند.
علاوه بر این ، شرکت ها اغلب لوازم را به روز نمی کنند و به مهاجمین پنجره آسیب پذیری بیشتری می دهند.
"این دستگاه ها از بدهی فنی عظیمی رنج می برند." "ویژگی ها برای یک یا دو دهه اضافه شده اند و شرکت ها چندین بار خریداری شده اند ، [but] هیچ کس تا به حال وقت خود را برای طراحی مجدد بسیاری از نرم افزارهایی که این دستگاه ها مبتنی بر آن هستند زمان نبرد. این دستگاه ها در یک محیط تهدید بسیار متفاوت نسبت به آنچه در زمان تصور و معماری آنها داشته ایم. "
لیست آسیب پذیری های عمده – که بسیاری از آنها مورد حمله مهاجمین قرار گرفته است – طولانی است. در ماه دسامبر ، سیتریکس هشدار داد که آسیب پذیری در دو دستگاه تحویل برنامه کاربردی خود که توسط بیش از 80،000 شرکت در سراسر جهان مستقر شده است می تواند به یک مهاجم غیرمجاز اجازه دهد تا کد دلخواه را اجرا کند. در ماه ژانویه ، ارائه دهنده VPN Pulse Secure به مشتریان اطلاع داد كه مهاجمان آسیب پذیری (CVE-2019-11510) را در وسایل VPN خود هدف قرار داده اند. در ماه ژوئن ، Palo Alto Networks اعلام کرد که آسیب پذیری مهم دیگری به نام CVE-2020-2021 را به دست آورده است ، به این صورت که زبان نشانه گذاری امنیت ادعا (SAML) را تجزیه می کند.
در تازه ترین حادثه ، F5 نقص (CVE-2020-5902) را در BIG-IP به وجود آورد ، موضوعی که توسط شرکت امنیتی Positive Technologies کشف شد.
جمع آوری آسیب پذیری ها چنان تهدید آمیز بوده است که وزارت امور خارجه آمریکا آژانس امنیت ملی دفاع (NSA) و آژانس امنیت سایبری و زیرساخت های وزارت امنیت داخلی آمریكا (CISA) در چندین نوبت هشدار داده اند كه دستگاه های پیرامونی اگر به درستی سخت نشده و ایمن نشوند ، تهدیدی را ایجاد می كنند. به عنوان مثال ، در 1 ژوئیه ، NSA هشدار داد كه نگهداری سخت افزار VPN معمولاً پیچیده است ، اما این خطر را برای سازمانهایی با امنیت آرام ایجاد می كند.
"دروازه های VPN معمولاً از طریق اینترنت قابل دسترسی هستند و مستعد اسكن شبکه هستند. آژانس امنیت ملی آمریکا در یک مشاوره اظهار داشت: حملات بی رحمانه و آسیب پذیری های روز صفر ". "برای کاهش بسیاری از این آسیب پذیری ها ، سرپرستان شبکه باید قوانین فیلترینگ راهنمایی و رانندگی را برای محدود کردن پورت ها ، پروتکل ها و آدرس های IP ترافیک شبکه به دستگاه های VPN محدود کنند."
شرکت ها باید برای خراب کردن فروشندگان خود برنامه ریزی کنند. به گفته دیوید ولپوف ، مدیر ارشد فناوری و بنیانگذار راندوری ، یک سیستم عامل خودکار با تیم قرمز ، یک استراتژی عمیق در زمینه دفاع است. شروع به کار خوب است.
"فروشندگان کامل نیستند – این بار و بار دیگر اثبات شده است. "او در بیانیه ای به Dark Reading ارسال کرد. "شما باید کنترل هایی داشته باشید که در بالای یکدیگر لایه بندی شده باشند. عمق دفاع را نمی توان با یک جعبه که تمام قابلیت های امنیتی شما را دارد به دست آورد. شما به گاوصندوق های مختلفی ، کنترل های مختلفی برای خراب کردن چیزی احتیاج دارید ، که این کار را انجام خواهد داد. در اوایل ماه ژوئیه ، "شرکت در اوایل ماه ژوئیه ، بهره برداری از آسیب پذیری SAML را در PAN-OS شبکه های Palo Alto تأیید کرد.
در طولانی مدت ، شرکت ها باید رویکرد شدیدتری را اتخاذ کنند." . در حالی که اولین خط دفاعی به سرعت در حال تشدید مسائل است – یک مشکل فزاینده با ادامه کار با کار از راه دور باعث می شود چنین دستگاه هایی برای عملکرد شرکتها حتی از اهمیت بیشتری برخوردار شوند – اکثر شرکت ها باید در معماری شبکه خود تجدید نظر کنند و جعبه های فیزیکی را به ابر منتقل کنند.
او می گوید: "این تغییر سریع یا آسان نیست.
" تجدید نظر در معماری شبکه یک سازمان به زمان ، صبر و مهارت نیاز دارد ، به همین دلیل معمولاً انجام نمی شود. " "ممکن است وصله کردن ، شما را برای زمان لازم برای شما بخرد."
پاتریک سالیوان ، مدیر ارشد فناوری در آکامای ، موافق است که پچینگ یک راه حل طولانی مدت نیست ، به خصوص به دلیل اینکه همیشه تکه های موجود نیستند و مهاجمان می توانند به سرعت از آسیب پذیری های مهم استفاده کنید. دستگاه های لبه همچنین منبع ثمری از نقص های 10 در مقیاس سیستم امتیاز دهی مشترک آسیب پذیری (CVSS) با 10 امتیاز بوده اند.
او می گوید ، شرکت ها باید برای "کشف و اخراج مهاجمین" که با موفقیت از یک موضوع استفاده کرده اند ، آماده شوند. که در حالی که تمرکز مهاجمین بر روی لبه ، پیشگیری از همه گیر شدن است ، اختلال در عملکردهای عادی ، بازی دفاع را دشوارتر کرده است.
"همه گیر باعث شده است که دسترسی از راه دور به یک بخش مهم تر در اجرای مشاغل تبدیل شود و کنترل تغییر بالقوه ای را ایجاد کند [and] وصله گرفتن دشوارتر است ، "سالیوان می گوید. "ما به عنوان یک صنعت ، ما در سال 2019 حتی بعد از هشدارهای آژانس امنیت ملی آمریکا مشغول انجام این دستگاه های بزرگ نبودیم ، بنابراین این ممکن است فقط یک مورد برای همه گیری باشد که نتیجه بدتری را بدتر کند."
مطلب:
Black Hat USA کاملاً مجازی ، که قرار است در تاریخ 1-6 آگوست برگزار شود و اطلاعات بیشتری در مورد این رویداد در وب سایت Black Hat کسب کنید. برای اطلاعات بیشتر در مورد اطلاعات کنفرانس و ثبت نام کلیک کنید.
روزنامه نگار فناوری کهنه بیش از 20 سال است. مهندس تحقیقات قبلی بیش از دوهزار انتشار از جمله CNET News.com ، Dark Reading ، بررسی فناوری MIT ، علوم محبوب و اخبار Wired نوشته شده است. پنج جایزه روزنامه نگاری ، از جمله بهترین مهلت … مشاهده کامل بایو
خواندن توصیه شده:
بینش های بیشتر
