[English] محققان امنیتی سه آسیب پذیری را در دیواره آتش Cyberoam (متعلق به شرکت انگلیسی Sophos) کشف کردند. این آسیب پذیری ها بدان معنی است که میلیون ها دستگاه و اساساً کل شبکه در معرض تهدیدات امنیتی قرار گرفته اند و بنابراین خطرات دارند. محصولات در شبکه های شرکت مورد استفاده قرار می گیرند و از طریق اینترنت (بعضی اوقات با داده های دسترسی استاندارد) قابل دسترسی هستند. به نظر می رسد در حال حاضر هیچ به روزرسانی سیستم عامل وجود ندارد. من در اینجا اطلاعاتی را تهیه می كنم كه محققان امنیتی vpnMentor برای من در این زمینه ارسال كردند.
سه آسیب پذیری در دستگاه های سایبراموایی
- اولین آسیب پذیری در پایان سال 2019 گزارش شد. یک تکه وجود دارد که شکاف دیگری را باز می کند.
- آسیب پذیری دوم به طور ناشناس به vpnMentor توسط یک متخصص امنیتی گزارش شد.
- هنگام بررسی این آسیب پذیری گزارش شده ، تیم امنیتی vpnMentor یک آسیب پذیری سوم را کشف کرد ، که قبلاً نیز بدون توجه به نظر می رسید.
این آسیب پذیری ها به طور بالقوه میلیون ها دستگاه را در معرض خطر حمله به اینترنت و خطر به خطر انداختن امنیت دستگاه قرار می دهند. خطاها به هر هکر اجازه می دهد تا به اینترنت دسترسی پیدا کند و صدها هزار نفر ، حتی میلیون ها دستگاه Sophos / Cyberoam را در اختیار بگیرد. تهدیدات احتمالی عبارتند از:
● سرقت داده های شخصی
● تصاحب شبکه ها ، حساب ها و دستگاه ها
● جاسازی نرم افزارهای مخرب در سراسر شبکه و دستگاه های فردی
تعداد زیادی از مشتری های سایبروام و سوفوس شامل شرکت های بزرگ ، شرکت های بین المللی و بانکهای بزرگ بین المللی گوگل ، مایکروسافت و اپل از بین 100000 شرکت فقط چند نام شناخته شده هستند. همچنین حدود 1 میلیون نفر از ابزارهای امنیتی این ارائه دهنده استفاده می کنند.
اگر این آسیب پذیری ها توسط هکرهای جنایی کشف شود ، تأثیر قربانیان می تواند فاجعه بار باشد. همانطور که محققان امنیتی در پیام دریافتی می نویسند ، دستگاه های آسیب پذیر سایبرام را می توان با استفاده از موتورهای جستجوگر مانند Shodan در اینترنت یافت.
سایبرام کیست؟
Cyberoam Technologies ارائه دهنده جهانی تجهیزات امنیتی شبکه است که در بیش از 125 کشور جهان وجود دارد. سایبروام در سال 1999 تاسیس شد و در احمدآباد هند مستقر است ، اما از سال 2014 بخشی از سوفوس است. این شرکت حدود 550 کارمند در سراسر جهان استخدام می کند.
Cyberoam به طور عمده راه حل های فناوری برای شرکت های بزرگ و سازمان های بین المللی تولید می کند و آنها را در شبکه های بزرگتر ادغام می کند. این موارد عبارتند از:
- راه حل های امنیتی شبکه ، مانند فایروال ها و دستگاه های UTM
- دستگاههای مدیریت امنیت متمرکز
- VPN
- Nti آنتی ویروس ، جاسوس افزارها و ابزارهای ضد اسپم
- فیلتر وب
- مدیریت پهنای باند
مشتریان این راه حل های امنیتی شامل تولید جهانی ، مراقبت های بهداشتی ، مالی ، خرده فروشی ، فناوری اطلاعات و غیره ، آموزش و پرورش ، بخش دولتی و سازمان های بزرگ دولتی هستند.
از نرم افزار Cyberoam معمولاً برای اطمینان از امنیت از طریق فایروال ها و غیره بر روی شبکه استفاده می شود. اساساً ، این دروازه ای است که ضمن جلوگیری از دسترسی غیرمجاز به شبکه ، به کارمندان و سایر طرف های مجاز امکان دسترسی را می دهد. این امر برای اطمینان از سطح بالایی از کنترل شبکه بر روی دستگاه ها و نرم افزارهای Cyberoam است. سایبروام همچنین محصولاتی را برای استفاده در منازل شخصی و دفاتر کوچک به فروش می رساند. به عنوان سوفوس به عنوان شرکت مادر ، محصولات احتمالاً در آلمان نیز وجود دارند.
سایبرامام اغلب توجه را به خود جلب می کرد
این اولین حفره امنیتی کشف شده در محصولات امنیتی سایبرام نبود.
- ژوئیه 2012: دو محقق امنیتی کشف کردند که سایبروام برای بسیاری از دستگاه های خود از همان گواهینامه SSL استفاده می کند. از این طریق هکرها می توانند به هر وسیله آسیب دیده در شبکه سایبروام دسترسی پیدا کرده و از ترافیک داده جلوگیری کنند.
- 2018: رسانه های هندی گزارش دادند كه یك هكر بخشهای زیادی از پایگاههای داده سایبرام را سرقت كرد و آنها را برای فروش در شبكه تاریك ارائه داد. هکرهای اخلاقی ناشناس تخمین زده اند که بیش از یک میلیون پرونده مربوط به مشتریان ، شرکاء و عملیات داخلی Cyberoam می توانند به صورت آنلاین خریداری شوند.
- 2019: هکرها در وایت هات آسیب پذیری دیگری یافتند و آن را به رسانه های آنلاین گزارش دادند.
خطایی در سال 2019 کشف و شناخته شده است. این اساس آسیب پذیری های کشف شده توسط vpnMentor در ژانویه 2020 را تشکیل می دهد. آسیب پذیری های اصلی دو آسیب پذیری جداگانه اما بهم پیوسته هستند که با ورود به سیستم در یک حساب سایبروام ارتباط دارند. هر دو آسیب پذیری به هکرها امکان دسترسی به سرورهای Cyberoam و متعاقباً به هر وسیله ای که فایروال ها و نرم افزارهای آنها نصب شده باشد ، می دادند.
آسیب پذیری های کشف شده
اولین خطا در پایان سال 2019 کشف شد ، گزارش به مردم و بلافاصله توسط Sophos و Cyberoam برطرف شد (به عنوان مثال این پست مراجعه کنید). اندکی پس از انتشار وصله ، یک محقق امنیتی که می خواست ناشناس بماند ، گزارش داد به vpnMentor و آسیب پذیری را که اخیراً توسط یک پچ پاره شده بود ، شناسایی کرد – که اتفاقاً جدی تر از یک سوراخ بود. محقق امنیتی نداو ولچ پس از بررسی آسیب پذیری گزارش شده ، آسیب پذیری دیگری را در نرم افزار فایروال Cyberoam کشف کرد (از داده های دسترسی استاندارد برای همه دستگاه ها استفاده شد).
به طور کلی ، این سه آسیب پذیری جداگانه اما متصل ، در فایروال نرم افزار Cyberoam است که در شش ماه گذشته کشف شد. در اینجا جدول زمانی است:
- اولین آسیب پذیری شناسایی و رفع شد: پایان سال 2019
- اولین گزارش ناشناس در مورد آسیب پذیری دوم دریافت شد. 01/02/2020
- Cyberoam با تماس گرفت: 06/02/2020 ، 11/02/2020
- پاسخ دریافت شد: 12/02/20
- برای بستن شکاف با Cyberoam کار کنید
توسعه دهندگان بلافاصله پاسخ دادند تماس با آنها با این حال ، من هیچ اطلاعاتی را پیدا نکرده ام که Cyberoam به روزرسانی های سیستم عامل را ارائه دهد.
جزئیات آسیب پذیری
در یک اطلاع رسانی اولیه ، محققان امنیتی vpnMentor جزئیات زیر را در مورد آسیب پذیری های شناسایی شده افشا کردند.
اولین آسیب پذیری از سال 2019
اولین آسیب پذیری یک خطای FirewallOS Cyberoam SSL VPN بود. این خطا امکان دسترسی به هر دستگاه Cyberoam را از طریق SSL VPN بدون نیاز به وارد کردن نام کاربری و رمز ورود حساب مرتبط فراهم می کند.
همچنین دسترسی کامل به دستگاه ریشه ای داشت و به هر مهاجمی امکان کنترل کامل دستگاه را می داد. این امکان دسترسی و کنترل بر کل شبکه ای را که در آن دستگاه Cyberoam در آن یکپارچه است فراهم می کند.
Cyberoam & # 39؛ s FirewallOS یک نسخه وب اصلاح شده و متمرکز از لینوکس است. کلیه تنظیمات ، تغییرات یا دستورات لازم در دستگاه Cyberoam در به اصطلاح اجرای دستور از راه دور (RCE) در کل شبکه ارسال می شود.
به دلیل خطایی در رابط ورود به سیستم FirewallOS ، هکرها نمی توانند از نام کاربری و رمز عبور برای دسترسی به شبکه Cyberoam استفاده کرده و RCE را به هر سرور در این شبکه ارسال کنند. با تشکر از این ، شبکه کاملاً برای مهاجمان باز بود ، بنابراین آسیب پذیری کاملاً جدی است.
این آسیب پذیری توسط Cyberoam و Sophos تعمیر شد و آنها را برای جلوگیری از چنین حمله ای ابزاری به نام "فیلتر معمولی" در کد آنها نصب کرد. جلوگیری می کند. با این حال ، وصله به اندازه کافی جامع نبود تا اقدامات امنیتی را دور بزند. حتی بدتر: پچ آسیب پذیری جدیدی ایجاد کرد که حتی جدی تر از اشکال اصلی بود.
آسیب پذیری دوم
آسیب پذیری دوم vpnMentor به طور ناشناس توسط یک هکر گزارش شده است و تنها پس از نصب پچ ایجاد شده توسط Cyberoam و Sophos در دسترس است. این در فیلتر بیان معمولی است که توسط پچ نصب شده است تا اطمینان حاصل شود که RCE های غیرمجاز از طریق پنجره ورود به سیستم کاربر نمی توانند به سرورهایشان ارسال شوند.
مشکل: فیلتر بیان منظم می تواند با استفاده از رمزگذاری Base64 پشتیبانی شود. Base64 یک طرح رمزگذاری باینری به متن است که داده های باینری (متشکل از 1 و 0) را به فرمت رشته ای ASCII تبدیل می کند. همچنین می تواند برای عملکرد معکوس استفاده شود: تبدیل کدهای فرمان معمولی به توالی های باینری از 1 و 0.
با فیلتر کردن دستور RCE با استفاده از Base64 و تعبیه آن در دستور bash برای لینوکس ، هکر می تواند محدودیت موجود در فیلتر بیان معمولی را از بایگانی Cyberoam برداشته و ایجاد کند. هر گونه بهره برداری متمرکز بر توابع ایمیل قرنطینه دستگاه است.
برخلاف آسیب پذیری اول ، آنها حتی به نام کاربری و رمزعبور نیز احتیاج نداشتند ، بلکه می توانند بر روی درخواست آزادی عملکرد ایمیل قرنطینه تمرکز کنند. با استفاده از کدهای استتار RCE ، مهاجمان می توانند یک نام کاربری خالی را در رابط ورود به سیستم وارد کرده و آن را مستقیماً از آنجا به سرور ارسال کنند. این امر باعث می شود که این آسیب پذیری حتی از بسته شدن نخستین نیز بسیار مهم باشد.
پس از ورود موفقیت آمیز به شبکه ، پروتکل های غیر مجاز RCE و "دستورات پوسته" را می توان در کل شبکه ارسال کرد. دسترسی کامل ریشه به دستگاه های آسیب دیده سایبروام نیز ممکن بود. این امر باعث حمله و کنترل کل شبکه قربانیان شد.
سومین آسیب پذیری کشف شده توسط نداو ولچ
آخرین مشکل در پرونده های امنیتی سایبرام به لطف رمزهای پیش فرض Cyberoam برای حسابهای جدید امکان پذیر بود. به نظر می رسد که حساب های موجود در نرم افزار شرکت دارای نام کاربری و کلمه عبور پیش فرض هستند. به عنوان مثال:
- cyberoam / cyber
- مدیر / مدیر
- root / مدیر
این باید توسط خود کاربران تغییر کند. با ترکیب آسیب پذیری ها در FirewallOS Cyberoam با اعتبار استاندارد ، هکرها می توانند به هر سرور Cyberoam که هنوز در حالت پیکربندی استاندارد است دسترسی داشته باشند و از آن برای حمله به کل شبکه استفاده کنند.
نرم افزار امنیتی معمولاً با استفاده از گواهینامه های استاندارد و اجازه دسترسی به حساب کاربری تا زمانی که کاربر حساب کاربری خود را ایجاد نکند ، از این مشکل جلوگیری می کند. علاوه بر این ، رمزهای عبور قوی تری که از اعداد ، نمادها و ترکیبی از حروف بزرگ و کوچک استفاده می شود لازم است.
یادآوری: اگر هکرها از موتور جستجوی Shodan برای جستجوی دستگاه های Cyberoam استفاده کنند ، می توانند به هر حساب کاربری که هنوز از نام کاربری و رمزعبور استاندارد استفاده می کند ، دسترسی پیدا کنند و آن را به دست بگیرند. با تشکر از حمله بی رحمانه ای که به همه سرورهای Cyberoam حمله می کند ، هکرها می توانند به راحتی به سرورهایی که هنوز در حالت نام کاربری / رمز عبور استاندارد هستند دسترسی پیدا کنند. اوه بله: تیم سایبرام / سوفوس در تلاش است راه حلهای امنیتی را در زمینه امنیت ارائه دهد – من هیچ حرفی ندارم.
هنگام استفاده از دستگاه های Sophos / Cyberoam ، اطمینان حاصل کنید که هیچ یک از این موارد در شبکه از اعتبارنامه استاندارد ارائه شده توسط Cyberoam استفاده نمی کنند. آخرین اطلاعات ایمنی Sophos از تاریخ 2 ژانویه سال 2020 است و می توانید در اینجا بیابید. اطلاعاتی که توسط vpnMentor برای من ارسال شده است متوجه هیچکدام از تکه های آن نشده است. من همچنین از فوریه 2020 وقتی که جستجو کردم ، هیچ گونه اطلاعات امنیتی Sofos (برای مثال ، اینجا) پیدا نکردم. اگر هنوز هم اطلاعاتی دارم ، آن را اضافه می کنم.
