محققان Volexity هشدار دادند، یکی دیگر از محصولات سیسکو توسط رخنهگرها هدف قرار گرفته است، آنها دنبال یک راه دائمی به شبکههای رایانهای و سامانههای سازمانهای مختلف هستند. Cisco Clientless SSL VPN یک پرتال مبتنی بر وب است که میتواند برای دستگاههای درخواست امنیت تطبیقی (ASA) در یک شرکت که ساخت سیسکو هستند، فعال شود. وقتی یک کاربر برای یک Web VPN احراز هویت میشود، براساس اجازههایی که کاربر دارد، ممکن است بتواند به منابع داخلی دسترسی داشته باشند، به پروندههایی که به صورت داخلی به اشتراک گذاشته شدهاند دسترسی داشته باشند، و افزونههایی را اجرا کنند که به آنها امکان telnet، ssh، یا VNC به منابع داخلی را بدهد.
این مهاجمان، یا از یک آسیبپذیری در این محصول استفاده میکنند و یا تلاش میکنند که دسترسی در سطح مدیریت را از راههای دیگر به دست آورند، اما هدف نهایی یکسان است: پیادهسازی کد جاوااسکریپت روی صفحات ورود به VPN، برای رسیدن به اطلاعات کارمندان.
این آسیبپذیری (CVE-۲۰۱۴-۳۳۹۳) یک سال قبل وصله شد. با این وجود، سازمانها در پیادهسازی این تعمیر کند بودند، و مهاجمان از این رخنه در حال استفاده هستند.
این کد مخرب جاوااسکریپت که در صفحات ورود Web VPN سیسکو تزریق شده، معمولاً روی وبگاههای قانونی ولی در معرض خطر میزبانی میشود، و هر بار که پرتال مربوطه در دسترس کاربری قرار میگیرد، این کد دریافت میشود.
با توجه به گفتههای این محققان، این حمله علیه مؤسسات درمانی و آکادمیک، شرکتهای الکترونیکی/تولیدی و همچنین NGOها و دولتها بوده است.
این محققان اشاره کردهاند که «Volexity میداند که این ۱۰۰٪ ممکن است و حدس میزند که در برخی موارد مهاجمان از دسترسی در سطح مدیریت به یک ASA سیسکو برای تغییر دادن صفحه ورود استفاده کردهاند.»
محققان همچنین گفتهاند که این اتفاق ممکن است ازطریق Cisco Adaptive Security Device Manager (ASDM)، یک رابط مدیریتی جاوا برای دیوارهای آتش که میتوان از طریق یک مرورگر وب به آن دسترسی داشت.
«دسترسی به ASDM دستگاهها باید از طریق فهرستهای کنترل دسترسی تاجایی که ممکن است محدود شود. حداقل، امکان دسترسی به این رابط از طریق اینترنت وجود نداشته باشد. مهاجمانی که به این رابط دسترسی پیدا میکنند، میتوانند به راحتی کدی که روی صفحهی ورود به Cisco Web VPN بارگذاری شده را تغییر دهند.»
متأسفانه، احراز هویت دو مرحلهای کمکی به جلوگیری از این حملهی خاص نمیکند، چون مهاجمان میتوانند به راحتی کد صفحهی ورود به سامانه را طوری تغییر دهند که کوکیهای جلسه را سرقت کنند و یا اطلاعات مربوط به احراز هویت را سرقت کرده و دوباره خودشان استفاده کنند.
با توجه به اینکه تشخیص این نوع حمله با ابزارهای امنیتی معمول دشوار است، و برای اطمینان از درست کار کردن ابزارها برای تشخیص این تهدید، مدیران شبکه باید کار خود را به خوبی انجام دهند.
کمتر از یک ماه قبل محققان FireEye در نقاط محتلفی از دنیا، کدهای مخربی روی مسیریابهای سیسکو پیدا کردند که یک نقطهی ورود دائمی به شبکه هدف ایجاد میکرد.
این محققان پیشنهاد دادهاند که «دیوارهای آتش، دستگاههای شبکه و هرچیز دیگری که یک مهاجم ممکن است بتواند از طریق آن دسترسی پیدا کند باید مورد بررسی قرار گیرد. همچنین هر رایانه یا کارگزاری که در یک سازمان وجود دارد»
Cisco Web VPN ؛ ابزار تازهای برای به چنگ آوردن اطلاعات محرمانهی کاربران
Cisco Web VPN ؛ ابزار تازهای برای به چنگ آوردن اطلاعات محرمانهی کاربرانReviewed by BaHar Death on Nov 3Rating:
درباره نویسنده
