در پایان سال 2019 و آغاز سال 2020 ، بیمارستان ها ، مراکز پزشکی و سازمان های دولتی و شهرداری ها در ایالات متحده حملات باج افزار موفقیت آمیز داشتند. جزئیات اکنون در دسترس است. موارد نمونه ای از چگونگی سهل انگاری از طرف سرپرستان (کلمه کلیدی: سرورهای Pulse Secure VPN بدون بسته) بر امنیت سیستم های اطلاعاتی تأثیر می گذارد.
Unpapped Pulse Secure VPN VPN
24 آوریل 2019. انتشار ورودی CVE-2019-11510 ، که هشدار می دهد از آسیب پذیری در نرم افزار سرور Pulse Secure VPN Pulse Connect Secure (PCS) است. آسیب پذیری در نسخه های نرم افزار زودتر از 8.2R12.1 ، قبل از 8.3R7.1 و قبل از 9.0R3.4 مشاهده شد. یک مهاجم از راه دور غیرمجاز قادر به ارسال سرور URI مخصوص برای خواندن هر پرونده و در صورت لزوم برای بازیابی اطلاعات مهم مانند اطلاعات ورود به سیستم بود.
Fortinet در آوریل 2019 به روزرسانی های مربوط به محصولات Fortigate خود را منتشر کرد ، اما در ابتدا در بسیاری از سیستم ها اتفاق زیادی نیفتاد. در اواخر آگوست 2019 ، من به طور خلاصه گزارش حمله به شبکه های بدون Pulse Secure و Fortinet SSL VPN در رابطه با آسیب پذیری CVE-2019-11510 در این محصولات را دادم. نقل قول از مقاله آگوست 2019:
اسکن های اینترنتی حداقل 480،000 نقطه پایانی Fortinet Fortigate SSL VPN متصل به اینترنت را ارائه می دهد. با این حال ، در حال حاضر مشخص نیست که تعداد زیادی از آنها وصله نگرفته اند. با این حال ، کارشناسان می گویند که از حدود 42،000 نقطه پایانی Pulse Secure SSL VPN که می توان به صورت آنلاین به آنها دسترسی پیدا کرد ، بیش از 14000 بسته نشده اند. به نظر می رسد که این مسئله هنوز در مورد برخی از بزرگترین شرکتها ، ارائه دهندگان زیرساخت های ملی و سازمان های دولتی در جهان صدق می کند. من فکر می کنم به زودی می توانیم از سرقت و نشت بیشتر گزارش کنیم.
این آسیب پذیری به مهاجمان اجازه می دهد کلیدهای خصوصی و رمزهای عبور کاربر را بخوانند. تولید کنندگان قبلاً بروزرسانی های آسیب پذیری امنیتی را از آوریل 2019 منتشر کرده اند. در اوایل سپتامبر 2019 ، من در وبلاگ Mass Scan for Pulse Secure VPN Server هشدار دادم که اسکن دسته جمعی برای سرورهای ناتمام Pulse Secure VPN (CVE-2019-11510) در اینترنت صورت می گیرد. .
من آن زمان آن را در وبلاگ خود ندارم ، زیرا داستان بعد از مقاله های تکراری در مورد آسیب پذیری بسیار خسته به نظر می رسید. با این حال ، تناس در ژانویه سال 2020 در این پست مجدداً تأکید كرد كه مجرمان سایبری از آسیب پذیری CVE-2019-11510 در سرورهای Pulse Secure VPN بدون بسته برای پخش باج افزار Sodinokibi از طریق اعتبار مدیر سرقت دامنه استفاده كرده اند.
و دوباره در فوریه 2020. یک وبلاگ با یک تقسیم کننده امنیت ظاهر شد (21 فوریه 2020) ، که در آن گزارش دادم که هکرهای ایرانی از طریق آسیب پذیری CVE-2019-11510 به ناخواسته Pluse Secure VPN-Server حمله کردند تا به آنجا بروند. درب عقب را پایین بیاورید.
بیایید خلاصه کنیم: بنابراین از آوریل 2019 ، یک اخطار رسمی و وصیتی درباره آسیب پذیری ظاهر شد. از آگوست سال 2019 ، سیستم های IT به دلیل آسیب پذیری شناخته شده "دارای تأثیرگذاری" شدند. با این حال ، مدیران احساس نمی کنند که مجبور به اقدام باشند (شاید به این دلیل که توسط شرکتهای تحت تأثیر قرارداد به عنوان ارائه دهنده خدمات قرارداد منعقد نشده اند). بنابراین عدم موفقیت در اطلاعیه.
کلوپ برای سیستم های اطلاعاتی آمریکا
پس از یک صدای جیر جیر دیگر ، این آخر هفته دوباره تاریخ به پای من افتاد. هکرها با موفقیت سیستم های IT بیمارستان های آمریکایی و سازمان های دولتی را با باج افزار آلوده کردند. اکنون مشخص است که چرا یک سری حملات باج افزار به سیستم های IT ایالات متحده موفقیت آمیز بوده است.
ایالات متحده قرار گرفت .. بیمارستان ها و مؤسسات دولتی توسط اشخاصی با استفاده از گواهینامه های Active Directory ، که ماه ها پس از استفاده از سرورهای Pulse Secure VPN که در برابر آسیب پذیری RCE CVE-2019-11510 در برابر اوتیسم ایمن نبودند ، به سرقت نرفتند – تا serghei https: / / t.co/tNgOEsepjGallen19659005ულია—BleepingComputer(@BleepinComputer)لاف19459015] 18 آوریل 2020
این حمله امکان پذیر بود زیرا می توان از اعتبارنامه Active Directory برای توزیع استفاده کرد. این اعتبارنامه از سرورهای Pulse Secure VPN سرورهای آسیب دیده به سرقت رفت و از آسیب پذیری شناخته شده در برابر اجرای کد از راه دور (RCE) چند ماه قبل از حمله و مدت ها بعد از انتشار پچ سازنده سوء استفاده کرد.
در ایالات متحده ، کانادا و سایر کشورها ، مدیران IT از اکتبر سال 2019 در مورد این آسیب پذیری هشدار داده بودند. در ژانویه سال 2020 ، FBI همچنین اعتصاب صاعقه ای صادر کرد که هکرهای تحت حمایت دولت به شبکه اجتماعی آمریکا و یک شرکت مالی پس از آن وارد شدند. با استفاده از دستگاه های آسیب پذیر Pulse Secure VPN.
علیرغم همه این هشدارها ، CISA مجبور شد هفته گذشته هشدار دیگری صادر كند. این هشدار از سازمانها خواسته بود كه بلافاصله پچ CVE-2019-11510 را روی سرور Pluse Secure VPN نصب كنند. این تنها راه برای جلوگیری از حمله مهاجمین از سرور داده های دسترسی سرور به کنترل کننده های دامنه است.
هشدارهای ناقص
آنچه در هیچ یک از این هشدارهای اولیه نخوانده ام: توجه داشته باشید ، داده های دسترسی کنترل کننده دامنه – سرپرستان به عنوان احتیاط در حال تغییر هستند. حتی اگر پچ امنیتی نصب شده باشد ، اگر داده های دسترسی قبلاً خارج شده و از آن زمان تغییر نکرده ، این اندازه گیری بی فایده است.
بنابراین ، مجرمان سایبری توانستند چندین کلینیک آمریکایی و مقامات شهری یا مدیریت شهری را با باج افزار آلوده کنند. این بازیگر همچنین توجه محافل امنیتی را به خود جلب کرد ، زیرا "پس از 30 تلاش ناموفق برای استفاده از داده های دسترسی دزدیده شده برای برقراری ارتباط با سیستم های IT" ، وی تلاش کرد تا داده های دسترسی سرقت شده را بفروشد. احتمالاً این ایده بهرهبرداری از آسیبپذیری بود که به امتیازات از راه دور اجازه حملات بیشتر داد. علاوه بر این ، مهاجمان تلاش کرده اند از ابزارهایی مانند TeamViewer و LogMeIn به عنوان درب های عقب بداهه استفاده کنند. هدف این بود که دسترسی به سیستم ها پس از رفع آسیب پذیری ها حفظ شود.
ابزار تجزیه و تحلیل CISA
در همین حال ، US-CERT هشدار اختصاصی صادر کرد (به توییت زیر مراجعه کنید) که نشان می دهد پچ سرور Pulse Secure VPN در برابر CVE-2019-11510 کافی نیست.
قبلاً Pulse Secure CVE-2019-11510 وصله شده است؟ این امکان وجود دارد که قبل از وصله سازش وجود داشته باشد. اگر چنین است ، شما هنوز هم آسیب پذیر هستید. برای روشهای جدید شناسایی و #IOC ابزار جستجو https://t.co/eTa5rrbR6O به هشدار ما مراجعه کنید https://t.co/0waOsgzFEg. #Cybersec …
– US-CERT (USCERT_gov) 16 آوریل 2020
اگر سیستم قبل از پچ نقض شد ، اقدامات بعدی لازم است همانطور که در اینجا توضیح داده شده است. ابزاری ساخته شده توسط CISA وجود دارد که به شما امکان می دهد از پرونده های log استفاده کنید تا بررسی کنید سیستم های شما قبلاً به خطر افتاده است یا خیر. جزئیات بیشتر را می توان در مقالات مرتبط یافت.
