افشای رمزعبور بیش از 900 VPN سرور!
محققان امنیتی ابتدا در سال 2019 در خصوص یک آسیبپذیری که بر محصول VPNشرکت Pulse Secure تأثیر میگذارد هشدار دادند، این آسیبپذیری با شناسه "CVE-2019-11510"، شدت بحرانی و با score 10، به مهاجمان اجازه میدهد تا از راه دور و به صورت غیرمجاز به شبکه شرکتها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور لاگها و گذرواژههایی با متن ساده، ازجمله گذرواژههای حساب کاربری Active Directory را مشاهده کنند؛ تا آن که در تاریخ 4 آگوست 2020 یک هکر، لیستی از آدرس IP بیش از 900 سرور Pulse Secure VPN و همچنین نامهای کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آنها استفاده شده بود منتشر کرد که تحت تأثیر این آسیبپذیری بحرانی قرار گرفتهاند. کارشناسان امنیتی وبسایت ZDNet که نسخهای از این لیست را با کمک شرکت اطلاعاتی KELA بدست آورده است نیز صحت این موضوع را تأیید میکنند. این لیست شامل IP آدرس سرورهای Pulse Secure VPN ، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، لیستی از تمامی کاربران محلی و رمزهای عبور هش شده آنها، جزئیات حساب کاربری مدیر، آخرین ورودهای VPN(شامل نامهای کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آنها استفاده شده است) وکوکیهای VPN session است. از بین 913 آدرس IP منحصربفرد پس از بررسیهای صورت گرفته توسط اسکنرهای Bad Packets CTI تعداد 677 مورد از این آدرسها در سال گذشته هنگام اکسپلوت عمومی این آسیبپذیری، نسبت به آن آسیبپذیر بودهاند؛ همچنین در بین لیست منتشر شده، مشخص شده است که 677 شرکت از نخستین اسکن Bad Packets در سال گذشته، هنوز وصله نشدهاند؛ حتی اگر این شرکتها سرورهایPulse Secure خود را وصله کنند، جهت جلوگیری از سوءاستفاده هکرها، باید رمزهای عبور خود را تغییر دهند. لیست مذکور در یک تالارگفتگو در بین هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکههای سازمانی شده و از قربانیان طلب باج خواهند کرد. نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ به عنوان gateway دسترسی به شبکههای شرکتی، مورد استفاده قرار میگیرند تا کارکنان آنها بتوانند از طریق اینترنت و از راه دور به اپلیکیشنهای داخلی وصل شوند. تحلیلگری به نام Bank Security و کسی که در همان لحظات اولیه از لیست مذکور اطلاع پیدا کرد و آن را با ZDNet به اشتراک گذاشت، نظر جالبی درخصوص این لیست و محتوای آن بیان نمود؛ به گفته وی، تمامی سرورهای Secure VPN موجود در لیست، نسخهای از firmware را اجرا میکنند که نسبت به این نقص آسیبپذیر هستند؛ وی معتقد است هکری که این لیست را منتشر کرده است، تمامی فضای آدرس IPv4 اینترنت را برای سرورهای Pulse Secure VPN اسکن کرده است. برای مقابله با این آسیبپذیری و جلوگیری از تحت تأثیر قرار گرفتن سرورها، هر چه سریعتر وصلههای امنیتی منتشر شده توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure استفاده میکند، در اسرع وقت نسبت به اعمال وصله امنیتی منتشر شده اقدام کنید.