انتشار شده در تاریخ 1399/01/31 - 10:55

به‌روزرسانی رمزهای عبور برای کاربران Pulse Secure VPN

وزارت امنیت داخلی آمریکا از کاربران وی‌پی‌ان «Pulse Secure» خواست رمزهای عبور خود را به‌روزرسانی کنند.

به گزارش کارگروه بین‌الملل سایبربان؛ وزارت امنیت داخلی ایالات متحده پس از چندین حمله سایبری روی برخی شرکت‌ها، از سازمان‌هایی که از وی‌پی‌ان «Pulse Secure» استفاده می‌کنند خواست رمزهای عبور خود را به‌روزرسانی کنند.

این سازمان هشدار داد که در برخی موارد شرکت‌ها پیشتر نقض در وی‌پی‌ان خود را برطرف کرده‌اند اما شاید پچ شدن وی‌پی‌ان یاد شده خیلی دیر شده باشد. به گفته مقامات دولتی دراین مواقع قبل از پچ شدن عوامل مخرب از حساب‌های کاربری اکتیو دایرکتوری (Active Directory) سوءاستفاده می‌کنند. بنابراین، افرادی که پچ می‌کنند نیز شاید در برابر حملات سایبری آسیب‌پذیر باشند.

مهاجمان به کمک یک نقض پرونده اختیاری Pulse Secure از راه دور و غیرمجاز به شبکه‌های سیستم قربانی دسترسی پیدا می‌کنند. این نقض با شناسه «CVE-2019-11510» در ماه آوریل سال گذشته شناسایی شد و بسیاری شرکت‌های تحت تأثیر این باگ از آن زمان به دنبال رفع مشکل هستند.

آژانس امنیت زیرساخت و سایبری وزارت امنیت داخلی آمریکا (CISA ) اظهار داشت که در بسیاری موارد مهاجمان از این نقض برای دسترسی به اطلاعات اعتباری قربانیان و جایه‌جایی داده‌ها از طریق سازمان‌ها استفاده می‌کنند.

در بیانیه آژانس آمده است :

«آژانس امنیت زیرساخت و سایبری وزارت امنیت داخلی قویاً از سازمان‌هایی که هیچ کاری برای به‌روزرسانی وی‌پی‌ان Pulse Secure انجام نداده‌اند می‌خواهد با پچ کردن با نقض CVE-2019-11510 مقابله کنند. پس از اعمال اقدامات تشخیص در این هشدار، سازمان‌ها شواهد مبنی بر باج‌افزار فوق را شناسایی می‌کنند و درنتیجه آژانس توصیه می‌کند که تمام حساب‌های کاربری اکتیو دایرکتوری از جمله حساب‌های مربوط به مدیران و خدمات رمزهای خود را به‌روزرسانی کنند.»

این نقض در «Pulse Connect Secure»، پلتفرم وی‌پی‌ان Pulse Secure مورد استفاده شرکت‌ها و سازمان‌های مختلف وجود دارد. سوءاستفاده از آسیب‌پذیری بسیار ساده است؛ به همین دلیل بالاترین رتبه را در این زمینه (10 از 10) کسب کرده است. مهاجمان به کمک این نقض برای دسترسی به اطلاعات مهم به سرور وی‌پی‌ان و اعتبارنامه‌ها دسترسی پیدا کنند. اثبات مفهوم (PoC) در ماه آگوست 2019 منتشر شد. در آن زمان، تروی مورش (Troy Mursch)، مؤسس «Bad Packets»، شرکت ارائه دهنده اطلاعات تهدید سایبری، این شرکت بیش از 14،500 نقطه پایانی وی‌پی‌ان مذکور را شناسایی کرده که در برابر این نقص آسیب‌پذیر بوده‌اند. در جدیدترین بررسی انجام شده، در ماه ژانویه امسال، مورش گفت 3،825 نقطه پایانی آسیب‌پذیر هستند.

براساس اطلاعات شرکت یاد شده، یکی از سازمان‌های آسیب‌پذیر، «Travelex» بوده است که که چندین ماه طول کشید تا آسیب‌پذیری‌های اساسی را در 7 سرور Pulse Secure VPN خود ثبت کند. برخی تصور می‌کنند تأخیر زمانی در پچ کردن این وی‌پی‌ان‌ها منجر به حمله گسترده باج‌افزاری علیه Travelex شده است.

براساس ادعای کارشناسان غربی، سایر مجرمان سایبری نیز Pulse Secure VPN را هدف قرار دادند تا سازمان‌هایی را به خطر بیاندازند که از آن جمله به سوءاستفاده هکرهای تحت حمایت ایران از این نقض و راه‌اندازی کمپین‌های جاسوسی سایبری علیه ده‌ها شرکت اسرائیلی اشاره شده است.

علاوه بر تشویق سازمان‌ها در به‌روزرسانی اطلاعات اعتباری در حساب‌های کاربری در اکتیو دایرکتوری – که به عنوان یک پایگاه داده تمام حساب‌ها و رمزهای عبور کاربران سازمان‌ها را در اختیار دارد – آژانس امنیت زیرساخت و سایبری وزارت امنیت داخلی ایالات متحده ابزاری جدید برای کمک به ادمین‌های شبکه در کشف هرگونه خطر مربوط به نقض در سیستم‌هایشان منتشر کرده است.

براساس بیانیه آژانس، سازمان از مدیران شبکه می‌خواهد تا نسبت به باج‌افزار CVE-2019-11510 مطلع باشند و از اقدامات تشخیصی و كاهش‌های ارائه شده در این گزارش برای حفظ امنیت شبکه در برابر حملات استفاده كنند.