NSA هشدار می دهد که روسیه به سیستم عامل های کار از راه دور حمله می کند


در سال 2020 ، در نتیجه بیماری همه گیر Covid-19 تعداد بی سابقه ای از کارمندان دفاتر جهانی مجبور به کار در خانه شده اند. این گسترش فرصت های بی شماری را برای استفاده کامل از هکرها ایجاد کرده است. امروز در یک آژانس مشاوره ای ، آژانس امنیت ملی گفت که گروه های روسی با بودجه دولتی به طور فعال در معرض آسیب پذیری تعدادی از سیستم عامل های کار از راه دور شرکت های بزرگ هستند که توسط VMware توسعه یافته است. روز پنجشنبه ، این شرکت یک بولتن امنیتی صادر کرد که در آن جزئیات اصلاحات و راه حل ها را برای کاهش نقصی که مقامات دولت روسیه برای دسترسی ممتاز به داده های هدف استفاده کردند ، کاهش داد.

موسسات سعی کرده اند با دسترسی ایمن کارکنان به سیستم های شرکتی ، از راه دور سازگار شوند. اما این تغییر با خطرات مختلفی روبرو می شود و مواجهه جدیدی با شبکه های اداری سنتی ایجاد می کند. معایب ابزارهایی مانند VPN به ویژه اهداف محبوب هستند ، زیرا می توانند به مهاجمان دسترسی به شبکه های داخلی سازمانی را داشته باشند. به عنوان مثال ، گروهی از آسیب پذیری های مingثر بر VPN Pulse Secure در آوریل 2019 وصله گذاری شدند ، اما آژانس های اطلاعاتی ایالات متحده مانند امنیت سایبری و آژانس امنیت زیرساخت در اکتبر 2019 و در ماه های ژانویه و آوریل اخطارهایی را درباره هکرها صادر کردند هنوز در حال حمله به سازمانها – از جمله سازمانهای دولتی – هستند که وصله را اعمال نکرده اند.

روز پنجشنبه ، CISA توصیه مختصری را منتشر کرد که مدیران را به رفع آسیب پذیری VMware ترغیب می کند. آژانس گفت: “مهاجم می تواند از این آسیب پذیری برای کنترل سیستم آسیب دیده استفاده کند.”

علاوه بر هشدار به عموم مردم در مورد اشکال VMware ، NSA بارها تأکید کرده است که “سیستم امنیت ملی (NSS) ، وزارت دفاع (DOD) و مدیران شبکه پایگاه صنعتی دفاع (DIB) را ترجیح می دهد تا آسیب پذیری را در اولویت قرار دهند.” سرورها “

بن رید ، مدیر ارشد جاسوسی سایبری در FireEye ، گفت: “این یکی از موارد قابل توجه پیام رسان و همچنین پیام است.” “این یک آسیب پذیری اجرای کد از راه دور است ، چیزی است که مردم قطعاً می خواهند آن را برطرف کنند ، اما این موارد اتفاق می افتد. بنابراین این واقعیت که NSA می خواست در مورد آن معامله بزرگی انجام دهد احتمالاً به این دلیل است که توسط مردم روسیه در طبیعت و احتمالاً در برابر هدفی که NSA نگران آن است استفاده می شود. “

تمام محصولات VMware تحت تأثیر مربوط به زیرساخت های ابری و مدیریت هویت هستند ، از جمله VMware Workspace One Access ، مدیر قبلی VMware Identity Manager و VMware Cloud Foundation. VMware بلافاصله درخواست ارسال نظر از WIRED را پس نداد ، اما این شرکت در توصیه های خود اشاره کرد که شدت نقص را “مهم” ارزیابی می کند ، این یک مرحله در بخش “مهم” است ، زیرا مهاجمان باید به یک رابط مدیریت محافظت شده با رمز عبور مبتنی بر وب دسترسی داشته باشند. قبل از اینکه بتوانند از این آسیب پذیری استفاده کنند. NSA اشاره می کند که محافظت از این رابط با یک رمز عبور قوی و منحصر به فرد یا تنظیم آن به گونه ای که از طریق اینترنت عمومی قابل دسترسی نباشد ، هر دو مرحله ای هستند که می توانند خطر حمله را کاهش دهند. خوشبختانه ، VMware سیستمهای آسیب دیده را با گزینه استفاده از رمزهای عبور پیش فرض که حدس زدن آن برای مهاجمین آسان است ، طراحی نکرده است.

هنگامی که یک هکر دسترسی پیدا کرد ، می تواند از آسیب پذیری برای دستکاری درخواست های احراز هویت به نام “ادعاهای SAML” (از زبان امنیتی تأیید نشانه گذاری ، یک استاندارد باز) به عنوان راهی برای نفوذ بیشتر در شبکه سازمان استفاده کند. و آنها می توانند از این موقعیت برای دسترسی به سرورهای دیگری که شامل اطلاعات بالقوه حساس هستند استفاده کنند.

آنچه FireEye خوانده اشاره می کند که گرچه ابتدا خطا برای سوit استفاده از رمز عبور قانونی لازم است ، اما این یک مانع غیر قابل حل نیست ، به ویژه برای هکرهای روسی ، که دارای برخی تجهیزات با تکنیک های سرقت از قبیل رمزگذاری رمز هستند. وی گفت: “من حدس می زنم كه NSA در حال نوشتن چیزی است زیرا آنها كار آن را دیده اند ، حتی اگر از لحاظ تئوری این بدترین آسیب پذیری نباشد.”

وقتی تعداد زیادی از کارمندان از راه دور کار می کنند ، استفاده از ابزارهای سنتی نظارت بر شبکه برای تشخیص رفتارهای احتمالی مشکوک ممکن است دشوار باشد. اما NSA همچنین اشاره کرد که آسیب پذیری هایی مانند اشکال VMware یک چالش منحصر به فرد است ، حتی اگر این فعالیت مخرب در پیوندهای رمزگذاری شده به رابط وب رخ دهد که هیچ تفاوتی با اطلاعات ورود قانونی ندارند. درعوض ، NSA به سازمانها توصیه می کند که برای یافتن عباراتی به اصطلاح “خروجی” که ممکن است فعالیت مشکوکی را نشان دهند ، گزارشهای سرور خود را مرور کنند.


منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>