محققان نقص هایی را گزارش می دهند ، فروشندگان وصله هایی صادر می کنند ، سازمان ها آنها را اعمال می کنند – و همه پس از آن با خوشحالی زندگی می کنند. درست است؟
نه همیشه. بعضی اوقات ، عنصر میانی آن زنجیره – چیزی که سازمانها در آن تکه هایی اعمال می کنند – ممکن است ماه ها طول بکشد.
این یک چرخه آرام است که به تجملاتی غیرقابل امنیت تبدیل شده است.
به عنوان مثال ، این افشاگری این هفته توسط محقق کوین بیومنت را در نظر بگیرید که آسیب پذیری های جدی در سیستم VPN کسب و کار Pulse Secure's Zero Trust است. برای نصب شبکه های شرکت مورد استفاده قرار می گیرد تا نصب باج افزار REvil (Sodinokibi) مورد استفاده قرار گیرد.
شواهد وی شامل گزارش های حکایات قربانیان است که از سیستم های VPN Pulse Secure VPN استفاده نشده به عنوان راهی برای استفاده توسط Revil استفاده می کنند. چیزی که او از آن زمان برای خودش دیده است:
من اکنون یک حادثه دیده ام که می توانند ثابت کنند از Pulse Secure برای دسترسی به شبکه استفاده شده است.
گاهشمار فاجعه
همانطور که باومنت اشاره می کند ، تکه های آسیب پذیری در برخی نسخه های Pulse Connect Secure (PCS) و Pulse Policy Secure (PPS) برای اولین بار در یک مشاوره منتشر شده توسط این شرکت در تاریخ 24 آوریل 2019 منتشر شد.
این شامل 10 CVE ، از جمله دارای یک امتیاز حداکثر 10 است. در مقیاس CVSS (CVE-2019-11510) ، یک ثانیه (CVE-2019-11508) 9.9 ، به همراه شش CVE اضافی دیگر که روی مفسر PDF Ghostscript تأثیر می گذارد ، رتبه بندی شده است.
یک هفته قبل از آن ، همانطور که گزارش دادیم ، یک اخطار عمومی تر است. توسط US-CERT در مورد ضعف در چندین مشتری VPN از شرکت ها ، از جمله Pulse Secure's Connect Secure صادر شده است.
بنابراین ، تا هشت ماه قبل از آخرین حملات REvil ، دانش عمومی بود که سیستم های VPN Pulse Secure ضعف های شدیدی داشتند. نیاز به توجه فوری داشت. [19659002] همانطور که Beumum توضیح می دهد:
این امکان را به افراد بدون نام کاربری و گذرواژه های معتبر می دهد تا از راه دور از طریق شبکه شرکتی که دستگاه محافظت می کند ، از آن محافظت کنند ، کنترل های احراز هویت چند عاملی را خاموش کنند ، از راه دور مشاهده سیاهههای مربوط و رمزهای ذخیره شده در متن ساده (شامل رمزهای ورود به حساب های اکتیو دایرکتوری)
در 14 اوت ، شخصی سوءاستفاده ای را برای CVE-2019-11510 در OpenSecurance.global ارسال کرد ، و پس از آن تنها چند روز قبل از شروع مجرمان اسکن برای VPN های آسیب پذیر با استفاده از BinaryEdge.io انجامید.
بد بسته ها حتی یک اخطار را ارسال کردند مبنی بر شناسایی اسکن انبوه برای نقص Pulse Secure. خبر بد – طبق اسکن ها ، در اواخر آگوست 2019 ، 14.528 سرور از 41.850 در حال اجرا این نرم افزار برای آسیب پذیری ضبط نشده بود.
چه اشتباهی رخ داد؟
به طور منطقی ، شرکت هایی که در آخرین حملات REvil دستگیر شدند. در لیست "موفق به پچ نشدن" شد. یا شاید ، همانطور که Beumum اشاره می کند ، مهاجمان توانستند پشتیبان هایی نصب کنند که بر هر نوع وصله بعدی غلبه کند.
به نوعی ، تکه های Pulse Secure به دلایلی ناشناخته از دست رفت ، نادیده گرفته شد ، یا مورد استفاده قرار نگرفت. علت هر چه باشد ، رسیدن به این نکته که چرا این نقص ها برای محو شدن باقی مانده است مورد علاقه همه است.
آخرین تعداد سرورهای آسیب پذیر Pulse Secure؟ با توجه به بسته های بد …
روز جمعه ، 3 ژانویه سال 2020 ، ما نوزدهمین دوره ما را اسکن های آسیب پذیری انجام دادیم و 3،826 سرور VPN Pulse Secure را در سرتاسر جهان در معرض خطر سازش قرار دادیم.
بدافزار
