آسیب پذیری های حیاتی VPN همچنان بر مشاغل تأثیر می گذارد

امیرحسین شیرانی راد11 ساعت پیشآخرین به روز رسانی: 14 ژانویه 2025

0 2,655 خواندن این مطلب 3 دقیقه زمان میبرد

از آنجایی که یک آسیب‌پذیری حیاتی در Connect Secure VPN همچنان بر مشتریان و مشاغل تأثیر می‌گذارد، غول دامنه بریتانیا Nominet یک حمله سایبری مرتبط با هک‌های Ivanti را تأیید کرده است.

Nominet که از نام های دامنه .co.uk نگهداری می کند، به مشتریان در مورد یک “حادثه امنیتی در حال انجام” که در دست بررسی است هشدار داده است. CRN گزارش داد که Nominet معتقد است “نقطه ورود از طریق نرم افزار VPN شخص ثالث ارائه شده توسط Ivanti است که به کارمندان ما امکان دسترسی از راه دور به سیستم ها را می دهد.” با این حال، هیچ اطلاعات مشتری در این مرحله به بیرون درز یا نقض نشده است.

Ivanti's Connect Secure یک VPN دسترسی از راه دور است که برای کارگران از راه دور در سازمان ها در هر اندازه طراحی شده است. بهترین VPN های تجاری دارای آسیب پذیری های قابل بهره برداری نیستند و ایوانتی به روز رسانی هایی را منتشر کرده است تا ضمن محدود کردن استفاده از VPN، این مشکل را برطرف کند.

چگونه از نقاط ضعف ایوانتی بهره برداری شد؟

ایوانتی برای اولین بار در 8 ژانویه 2025 هشدار داد که شبکه آنها به خطر افتاده است. دو آسیب‌پذیری، CVE-2025-0282 و CVE-2025-0283، به طور مفصل مورد بحث قرار گرفتند و به عنوان آسیب‌پذیری‌های «روز صفر» برچسب‌گذاری شدند. این امر مبارزه با آنها را بسیار سخت تر کرد.

اولین آسیب‌پذیری به هکرها این امکان را می‌دهد تا کد از راه دور را بدون احراز هویت اجرا کنند و امتیاز شدت 9.0/10.0 را دریافت کرد. ایوانتی افزود که “تعداد محدودی” از دستگاه های مشتری مورد بهره برداری قرار گرفتند. آسیب پذیری دوم به هیچ وجه مورد سوء استفاده قرار نگرفت و نمره شدت 7.0/10.0 را دریافت کرد.

یک وصله برای Connect Secure به سرعت منتشر شد و به مشتریان توصیه شد که با استفاده از Ivanti's Integrity Checker Tool (ICT) اسکن را انجام دهند تا ببینند آیا امنیت آنها به خطر افتاده است یا خیر. اگر پیام “پاک کردن اسکن داخلی و خارجی ICT” را دریافت کردند، می توانند نرم افزار خود را به روز کنند.

(اعتبار تصویر: solarseven / Getty Images)

به هرکسی که پیام «نمایش پرچم‌های قرمز» را دریافت کرده بود، توصیه می‌شود دستگاه آسیب‌دیده را قبل از اینکه آن را به‌صورت آنلاین با به‌روزرسانی جدید به حالت آنلاین بازگرداند، به حالت کارخانه بازنشانی کند. ایوانتی توصیه می‌کند قبل از بازنشانی و ارتقای دستگاه، از پیکربندی دستگاه‌ها نسخه پشتیبان تهیه کنید.

ویژگی‌های Policy Secure و ZTA Gateways شرکت نیز تحت تأثیر این حمله قرار گرفتند، اما در زمان نگارش این مقاله هیچ سوءاستفاده‌ای در هیچ‌یک از این محصولات مشاهده نشد. ایوانتی اظهار داشت که وصله های این محصولات در حال کار است و انتظار می رود در 21 ژانویه 2025 انجام شود.

این اولین باری نیست که ایوانتی از آسیب‌پذیری‌ها سوء استفاده می‌کند، زیرا در طول سال‌های 2023 و 2024 در معرض یک سری حملات قرار گرفته است.

پیوند به چین

به گفته محققان Mandiant، این حمله ممکن است به یک عامل تهدید کننده مستقر در چین مرتبط باشد و احتمالاً در دسامبر 2024 آغاز شده است.

این دستگاه‌ها به بدافزاری از خانواده «SPAWN» آلوده شده‌اند که به یک گروه هک مستقر در چین به نام UNC5337 مرتبط است. این گروه همچنین ممکن است بخشی از عملیاتی بوده باشد که سال گذشته به ایوانتی حمله کرد. این حملات توسط گروهی به نام UNC5221 انجام شد و Mandiant با “اطمینان متوسط” گفت که UNC5337 بخشی از UNC5221 است.

آیا VPN های تجاری هنوز گزینه خوبی هستند؟

بله، VPN های تجاری زیادی وجود دارند که از شرکت و کارمندان شما در برابر مجرمان سایبری محافظت می کنند، و برخی از ویژگی های کلیدی وجود دارد که باید به آنها توجه کنید.

مشاغل در هر اندازه ممکن است در معرض تهدید هکرها قرار گیرند، اما مشاغل کوچک و متوسط جذاب ترین آنها هستند. به همین دلیل است که به یک VPN تجاری نیاز دارید که بتواند تمام داده های شما را ایمن کند و دارای رمزگذاری قوی باشد.

از نظر آدرس IP، شما یک IP ثابت می خواهید تا هر کسی که نیاز به دسترسی به داده های محافظت شده دارد بتواند آن را دریافت کند. بسیاری از سرورهای مبتنی بر ابر استفاده می کنند که همه فایل ها و داده های شما را در یک مکان برای دسترسی آسان رمزگذاری می کنند.

همچنین ارزش جستجوی یک VPN تجاری با ویژگی های امنیتی اضافی را دارد. این می تواند مقدار سخت افزار و نرم افزار اضافی مورد نیاز برای خرید را کاهش دهد و VPN تجاری را مقرون به صرفه تر کند.

برچسب ها