IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Administrator

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

کشف آسیب پذیری احراز هویت در فایروال مورد تایید ناتو و اتحادیه اروپا

 

یک عامل مهاجم و تهدید کننده با دسترسی شبکه به سطح ادمین، توانست به سادگی از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و در نهایت بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

شرکت مشاوره امنیت سایبری مستقر در اتریش با نام سِک کانسولت، یک آسیب پذیری بزرگ را در سیستم فایروال ساخته و توسعه داده شده توسط شرکت امنیت سایبری آلمانی Genua، شناسایی کرده است.

این سیستم با نام گنوآ گنوگِیت، وظیفه محافظت از ارتباطات بین تجهیزات، تامین امنیت شبکه داخلی در برابر تهدیدات خارجی و تقسیم بندی شبکه های داخلی را دارد.

گنوگیت تنها فایروال در جهان است که رتبه "بسیار مقاوم" را از دولت آلمان دریافت کرده است.

علاوه بر این، با مقررات امنیت اطلاعات NATO Restricted و EU’s RESTRIENT UE/EU RESTRICTED مطابقت و همخوانی دارد. این آسیب پذیری، تمامی نسخه های گنوگِیت را تحت تاثیر قرار داده است.

جنبه حائز اهمیت

طبق گزارش سِک کانسولت، رابط های مدیریت فایروال در برابر آسیب پذیری جانبی احراز هویت طبقه بندی شده و محرمانه با عنوان CVE-2021-27215 آسیب پذیر هستند.

یک عامل مهاجم به راحتی با دسترسی شبکه به سطح ادمین، توانست از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و به متعاقب آن، بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

سِک کانسولت توضیح میدهد که پس از دستیابی دسترسی به سطح مدیر و روت، برای مهاجم امکان پیکربندی مجدد فایروال، شامل "تنظیمات فایروال، تنظیمات فیلترهای ایمیل، تنظیمات فایروال برنامه تحت وب، تنظیمات پروکسی و غیره" به راحتی وجود دارد.

به عنوان مثال، مهاجمان میتوانند برای دسترسی به یک سیستم غیرقابل دسترسی، کل پیکربندی فایروال را تغییر داده و یا ترافیک سازمان را به "سرور پروکسی کنترل شده مهاجمان"، تغییر مسیر دهند.

توصیه سِک کانسولت

سِک کانسولت در توصیه خود، بر لزوم اصلاح هر چه سریعتر این آسیب پذیری تاکید دارد:

"در محیط های دارای مجوز و تایید شده، لازم است که رابط کاربری مدیر فقط از طریق یک شبکه کاملا مجزا در دسترس باشد. با این وجود، این یک آسیب پذیری امنیتی بسیار مهم و حیاتی است که باید بلافاصله اصلاح گردد".

این شرکت همچنین ویدئویی را برای توضیح نحوه کار این حمله منتشر کرده است (برای مشاهده ویدئو در یوتوب، بر روی این لینک کلیک کنید).

بهترین فایروال جهان دارای نقص بود!

محصولات گنوآ به طور گسترده ای توسط دولت، ارتش، کارخانجات و سازمان های مختلف مورد استفاده قرار میگیرد. با این حال، کشف این آسیب پذیری ثابت میکند که حتی بهترین نرم افزار جهان نیز بی عیب و نقص نیست.

سِک کانسولت توسط یکی از غول های بخش فناوری اطلاعات با نام Atos در سال 2020 خریداری شد. شرکت Armin Stock کمپانی Atos آلمان این آسیب پذیری را کشف کرد. یافته و مستندات در ژانویه 2021 به گنوآ گزارش شد و این شرکت طی چند روز فایل و یک پچ را برای اصلاح این مشکل منتشر کرد.

کشف نقص های متعدد در سری Cisco Small Business 220

 takian.ir cisco small business 220 flaw

یک محقق، آسیب پذیری های متعددی را در سوئیچ های هوشمند سری Cisco’s Small Business 220 کشف کرده است که شامل برخی از مشکلات دارای درجه بالای خطر نیز میباشد.

محقق امنیتی جسپر آدریانس، چندین آسیب پذیری سوئیچ هوشمند سری Cisco’s Small Business 220 را کشف کرده است. این آسیب پذیری ها بر دستگاه هایی که نسخه های سیستم عامل قبل از 1.2.0.6 را اجرا می کنند و اینترفیس مدیریت تحت وب در آنها فعال است، تأثیر می گذارند. این کارشناس خاطر نشان کرد که اینترفیس به طور پیش فرض، فعال است.

به نقل از سکیوریتی افیرز، این آسیب پذیری ها در مجموع به صورت CVE-2021-1541 ،CVE-2021-1542 ، CVE-2021-1543 و CVE-2021-1571 ردیابی شده اند و شدید ترین آنها CVE-2021-1542 میباشد که جز موارد دارای شدت بالا ارزیابی شده است.

مورد CVE-2021-1542 یک آسیب پذیری مدیریت session ضعیف است که می تواند به مهاجم از راه دور و غیرمجاز اجازه دهد session کاربر را هایجک کرده و به اینترفیس وب دستگاه شبکه با سطح اختیارات کاربر مدیر، دسترسی پیدا کند.

مشاوره امنیتی منتشر شده توسط سیسکو میگوید: "این آسیب پذیری مدیریت session برای اینترفیس مدیریت تحت وب سوئیچ های هوشمند سری 220 Cisco Small Business می تواند به مهاجم از راه دور غیرمجاز اجازه دهد تا از سد محافظتی احراز هویت عبور کرده و به اینترفیس به صورت غیرمجاز دسترسی پیدا کند. مهاجم می تواند اختیارات session حساب هایجک شده را، که می تواند شامل اختیارات در سطح مدیریتی در دستگاه باشد را بدست بیاورد".

این نقص به دلیل استفاده از مدیریت session ضعیف برای شناساگرهای مقادیر session است. به گفته سیسکو، مهاجم می تواند با استفاده از روش های شناسایی برای تشخیص نحوه ساخت یک شناسه معتبر session، از این مسئله بهره برداری کند.

مورد با شدت بالا CVE-2021-1541، یک آسیب پذیری اجرای فرمان از راه دور است که مهاجم از راه دور از مجوزهای سطح ادمین سواستفاده کرده و می تواند دستورات دلخواه با اختیارات روت را در سیستم عامل اصلی اجرا نماید.

این مشاوره در ادامه می افزاید: "آسیب پذیری در اینترفیس مدیریت تحت وب سوئیچ های هوشمند Cisco Small Business 220 Series می تواند به مهاجم از راه دور معتبر اجازه دهد دستورات دلخواه را به عنوان یک کاربر روت، در سیستم عامل اصلی اجرا کند. مهاجم باید گواهینامه های معتبر ادمین را در دستگاه مورد نظر داشته باشد".

"این آسیب پذیری به دلیل فقدان اعتبارسنجی پارامتر برای پیکربندی پارامترهای TFTP است. یک مهاجم می تواند با وارد کردن مولفه ورودی ساختگی برای پارامترهای خاص در پیکربندی TFTP، از این آسیب پذیری سواستفاده کند. یک سواستفاده موفقیت آمیز می تواند به مهاجم اجازه دهد تا دستورات دلخواه را به عنوان کاربر اصلی در سیستم عامل اصلی اجرا نماید".

نقاط ضعف باقیمانده در سوئیچ های هوشمند سری 220 Business Cisco Small Business، یک آسیب پذیری Cross-Site Scripting یا (XSS) (CVE-2021-1543) و یک آسیب پذیری تزریق HTML است، که هر دو مورد به عنوان مشکلاتی با حد شدت متوسط ارزیابی شده اند.

نقص XSS به دلیل اعتبارسنجی ناکافی مولفه ورودی توسط کاربر بوسیله اینترفیس مدیریت تحت وب دستگاه آسیب دیده است. یک مهاجم می تواند با فریب قربانیان برای کلیک کردن روی لینک های مخرب، از این نقص سواستفاده کرده و به یک صفحه خاص دسترسی پیدا کند. مهاجم می تواند از این نقص در اجرای کد اسکریپت دلخواه در محتوای اینترفیس تحت تاثیر و یا دسترسی به اطلاعات حساس و مبتنی بر مرورگر اعمال کرده و کاربر را به صفحه دلخواه خود هدایت نماید.

آسیب پذیری تزریق HTML به دلیل بررسی نادرست مقادیر پارامتر در صفحات آسیب دیده است.

سیسکو برای رفع آسیب پذیری های فوق بروزرسانی های نرم افزاری را منتشر کرده است و از سویی نیز متأسفانه هیچ راهکار قطعی برای حل این مشکلات وجود ندارد.

گزارش تجزیه و تحلیل بدافزاری سازمان CISA آمریکا و بروزترین هشدارهای باج افزار DarkSide

سازمان CISA متعلق به ایالات متحده آمریکا، گزارش جدید تجزیه و تحلیل بدافزار (MAR) را درباره باج افزار DarkSide با نام ذیل منتشر کرده و هشدار AA21-131A را بروزرسانی کرده است: "باج افزار DarkSide: بهترین روش ها برای جلوگیری از ایجاد اختلال در تجارت از حملات باج افزاری" را که در تاریخ 11 ماه می سال2021 ارائه شده، منتشر گردیده است. این بروزرسانی شاخص های خطرات مرتبط با انواع باج افزار DarkSide که یک مجموعه لینک پویا را برای پاک کردن نسخه های Volume Shadow موجود در سیستم اجرا می کند، ارائه مینماید.

takian.ir cisa publishes malware analysis report and updates alert on darkside ransomware 1

در اصل DarkSide یک باج افزار سرویس یا RaaS است. توسعه دهندگان باج افزار بخشی از درآمد خود را از عاملان و مجرمان سایبری که آن باج افزار را مستقر می کنند، دریافت می کنند که معروف به "شرکت های وابسته" هستند. طبق گزارش متن باز، از آگوست سال 2020، عاملان DarkSide چندین سازمان بزرگ و با درآمد بالا را هدف قرار داده اند و در نتیجه آن اقدام به رمزگذاری و سرقت داده های حساس کرده اند. گروه DarkSide به طور علنی اظهار داشته است که آنها ترجیح می دهند سازمانهایی را هدف قرار دهند که دقیقا بلعکس بیمارستانها، مدارس، سازمانهای غیرانتفاعی و دولتها، توانایی پرداخت باج های زیاد و سنگین را دارند.

طبق این گزارش متن باز، قبلاً مشاهده شده است كه عاملان و مهاجمان DarkSide از طریق فیشینگ و سواستفاده از حساب ها و سیستم های از راه دور و زیرساخت های دسكتاپ مجازی (VDI) به دسترسی اولیه (Phishing [T1566] ، Exploit Public-Facing Application [T1190] »، خدمات از راه دور خارجی [T1133]) دست پیدا كرده اند. همچنین مشاهده شده است که مهاجمان DarkSide با استفاده از پروتکل Remote Desktop یا RDP برای حفظ پایداری اقدام کرده اند [TA0003].

بازیگران DarkSide پس از دستیابی به دسترسی ، باج افزار DarkSide را برای رمزگذاری و سرقت اطلاعات حساس (Data Encrypted for Impact [T1486]) به کار می گیرند. سپس بازیگران تهدید می کنند در صورت عدم پرداخت دیه ، داده ها را به صورت عمومی منتشر می کنند.

سازمان CISA به کاربران و ادمین ها توصیه کرده است که برای تقویت وضعیت امنیتی سیستم های سازمان خود، از بهترین روش هایی که در زیر اشاره شده است، استفاده کنند. هرگونه تغییر در پیکربندی قبل از اجرا توسط مالکان و ادمین های سیستم باید بررسی شود تا از تأثیرات ناخواسته جلوگیری شود.

• شناسه ها و موتورهای آنتی ویروس را به روز نگه دارید.
• پچ های سیستم عامل را به روز نگه دارید.
• سرویسهای اشتراک فایل و چاپگر را غیرفعال کنید. در صورت نیاز به این سرویس ها، از گذرواژه های قوی یا تأیید اعتبار Active Directory استفاده کنید.
• توانایی کاربران (مجوزها) در نصب و اجرای برنامه های نرم افزاری ناخواسته را محدود کنید. کاربران را به گروه ادمین های اصلی اضافه نکنید، مگر اینکه ضرورتی داشته باشد.
• سیاست رمز عبور قوی را اعمال کنید و رمز عبور به طور منظم و مداوم تغییر دهید.
• در هنگام باز کردن پیوست های درون ایمیل ها، حتی اگر انتظار می رود پیوست آن مشخص باشد و فرستنده نیز شناخته شده باشد، احتیاط لازم را اعمال کنید.
• فایروال شخصی را در سیستم های محیط کار مجموعه فعال کنید، آنها بصورت پیشفرض در حالتِ رد درخواست های اتصال ناخواسته پیکربندی نمایید.
• سرویس های غیرضروری را در سیستم های کاری مجموعه و سرورها غیرفعال کنید.
• پیوست های ایمیل مشکوک را اسکن کرده و حذف کنید. اطمینان حاصل کنید که پیوست اسکن شده، شکل اصلی آن فایل است (یعنی پسوند با سرفصل فایل مطابقت داشته باشد).
• عادات روتین وبگردی کاربران را نظارت کنید؛ دسترسی به سایتهای دارای محتوای نامطلوب را محدود کنید.
• هنگام استفاده از رسانه قابل حمل احتیاط کنید (به عنوان مثال، درایوهای USB فلش، درایوهای خارجی، CD و غیره).
• قبل از اجرا، تمام نرم افزارهای بارگیری شده از اینترنت را اسکن کنید.
• در مورد آخرین تهدیدات، اطلاعات و سطح آگاهی خود را به روز حفظ کرده و موارد کنترل دسترسی مناسب (ACL) را پیاده سازی کنید.

اطلاعات بیشتر در مورد پیشگیری و مدیریت حادثه های مخرب را می توان در نشریه ویژه استاندارد و فناوری ملی (NIST) 800-83، "راهنمای پیشگیری و رسیدگی به بدافزارها برای دسکتاپ و لپ تاپ" مطالعه نمود.