سازمان NCSC به کاربران VPN که از فورتی نت،پالو آلتو و Pulse Secure استفاده می کنند، هشدار داده است که از Patch یا وصله های جدید استفاده کنند.
اگر کارمندان شما از VPNهای فورتی نت، پالو آلتو یا Pulse Secure استفاده می کنند، نیاز دارید که حتما در محصولات خود از وصله های جدید استفاده کنید و همچنین در لاگ ها خود به دنبال نشانه هایی از خطر باشید.
همانطور که ZDNet در ماه سپتامبر گزارش داد، گروهی از هکر های تحت حمایت دولت چین که با نام APT5 شناخته می شوند با استفاده از محصولات فورتی نت، پالو آلتو و Pulse Secure به سرور های VPN شرکت حمله کرده اند.
اما APT5 ممکن است تنها گروهی نباشد که از سوی دولت حمایت مالی می شود و از نقص ها برای حملات استفاده می کند. مرکز امنیت سایبری انگلستان (NCSC)، واحد آژانس جاسوسی GCHQ، به سازمان ها هشدار می دهد که پورتال GlobalProtect پالو آلتو و GlobalProtect رابط Gateway محصولات نیز تحت حمله مهاجمان قرار گرفته اند.
NCSC هشدار می دهد که :” این فعالیت ها در حال انجام است و انگستان و سازمان های بین المللی را هدف قرار می دهد. بخش های تحت تاثیر عبارتند از دولت، نهاد های نظامی، کسب و کار ها. این آسیب پذیری ها به خوبی در منابع Open Source مستند شده اند.
وصله ها برا هر گونه آسیب پذیری در دسترس هستند و آژانس توصیه می کند تا سریعا بروزرسانی های لازمه انجام شوند تا از خطرات جلوگیری شود زیرا کد های سوء استفاده برای اینگونه باگ ها در اینترنت موجود است.
برخی از این باگ ها در ماه آگوست در بلک هت آمریکا، قبل از حمله به فورتی نت و Pulse Secure کشف شدند.
نقص های VPN این امکان را به مهاجمان می دهد که اعتبار اهراز هویت را بدست آورند که می تواند برای اتصال به VPN ها و تغییر تنظیمات پیکربندی استفاده شود و یا مزیت هایی را جهت بهره برداری و بدست آوردن پوسته ریشه فراهم می کند.
NCSC بر شش آسیب پذیری با بیشرتین تاثیر تاکید دارد که در بین محصولات توسط گروه APT مورد سوء استفاده قرار گرفته اند.
این باگ ها شامل دو نقص CVE-2019-11510 و CVE-2019-11539 است که بر روی اتصالات امن VPN های Pulse تاثیر می گذارد همچنین شامل سه آسیب پذیری بر روی دستگاه ها فورتی گیت برند فورتی نت از جمله CVE-2018-13379, CVE-2018-13382 ,CVE-2018-13383 و باگ اجرای کد ریموت حیاتی در پروتال GlobalProtect پالو آلتو و رابط Gateway محصولات شامل CVE-2019-1579 می باشد.
با توجه به حملات، NCSC دستورالعمل های دقیق و خاصی را برای محصولات در اختیار سرپرستان قرار داده است تا علائم اینگونه سوء استفاده را در گذشته بررسی کنند.
بعنوان مثال برای CVE-2019-11510 که روی Pulse Secure تاثیر می گذارد، پیشنهاد می کند که به دنبال لاگ هایی باشند که در URL آنها ؟ وجو دارد و با عبارت /dana/html5acc/guacamole/ پایان یافته اند.
همچنین اضافه کرد ” اگر هر موردی قبل از استفاده از وصله ها پیدا شودممکن است نشانه ای از خطر باشد. رشته مطابق نام پرونده ای است که مهاجم سعی کرده است آن را بخواند.”
نقص CVE-2018-13379 مربوط به فورتی نت ممکن است مورد سوء قرار بگیرد در صورتی که دریابیم sslvpn_websession بارگیری شده است. پرونده حداقل 200 کیلوبیات حجم دارد و شامل نام کاربری و رمز عبور کاربران فعال است.
برای VPNهای پالو آلتو جستجو در لاگ ها مربوط به تصادفات گذشته توصیه می شود که ممکن است ناشی از تلاش های نافرجام حملات و بهره برداری ها باشد.
به سازمان هایی که توسط هکر های مورد حمایت دولت، هدف قرار گرفته اند توصیه می شود که تمام تنظیمات مربوط به VPN را بررسی کنند و پرونده هایی مربوط به سرویس ها مانند ایمیل که کاربران از طریق VPN از آن ها استفاده می کنند و به شبکه متصل شده اند را بررسی کنند.
همچنین توصیه می شود درصورت بخطر افتادن، دستگاه ها را پاک کنند. علاوه بر این سازمان هاباید دو مرحله تایید هویت را برای VPN ها پیاده سازی کنند و عملکرد ها و پورت های غیر ضروری را غیر فعال کنند.