افتا در اطلاعیه ای اعلام كرد؛ استفاده از مولفه های قدیمی و لطمه پذیر عامل هک های اخیر
سئو مئو: تحلیل کارشناسان مرکز افتای ریاست جمهوری از حوادث سایبری اخیر نشان میدهد که سازمان های قربانی این حملات از مولفه های قدیمی و لطمه پذیر Telerik استفاده می کرده اند.
به گزارش سئو مئو به نقل از مهر، مرکز مدیریت راهبردی افتا با بیان هشدار به سازمان های کشور و با طرح این سوال که «آیا مطمئن هستید که میزبان هکرها نیستید؟» اشاره کرد: استفاده از مؤلفه های (کامپوننت) قدیمی و لطمه پذیر تِلِریک (Telerik)، خیلی از سیستم های دفاعی سامانه های کاربران را سست کرده، به نحوی که تبدیل به پنجره ای برای نفوذ هکرها و بروز حملات سایبری همچون حملات اخیر شده است. تحلیل کارشناسان افتا از حوادث سایبری اخیر نشان میدهد که سازمان های قربانی این حملات نیز، از کامپوننت های قدیمی و لطمه پذیر Telerik استفاده می کرده اند. آمارهای جهانی نشان میدهد که تنها در سال ۲۰۲۰ میلادی، نشت اطلاعات و داده های سازمانی، بیش از ۳۶ میلیارد دلار به شرکتها و سازمان های دنیا خسارت وارد کرده است. حدود ۴۵ درصد خسارات ناشی از نشت اطلاعات و داده های سازمانی، در نتیجه نفوذ هکرها به زیرساخت های سازمانی بوده و سوءاستفاده از Telerikهای قدیمی، یکی از پراستفاده ترین لطمه پذیری ها در جریان عملیات هک بوده است. کامپوننت های Telerik در طراحی برنامه های دسکتاپ، موبایل و نیز صفحات وب استفاده می شود و بیشترین مورد استفاده از کامپوننت ها در پلت فرم های مربوط به مایکروسافت است. در سالهای اخیر حداقل ۱۰ لطمه پذیری در کامپوننت های Telerik گزارش شده است، لطمه پذیری هایی که به آسانی هکران را به داده ها و اطلاعات سازمانی رسانده است. بررسی دسترسی های موردنیاز برای سوءاستفاده از این لطمه پذیری ها، نشان میدهد که بهره برداری از آنها به سادگی میسر بوده و نیازی به احراز هویت ندارد؛ همین طور در منابع عمومی اینترنت، «کد اکسپلویت» های مختلفی انتشار یافته است که بهره برداری از این لطمه پذیری ها را تسهیل می کند، بدین سبب سوءاستفاده از این لطمه پذیری ها حتی برای شخصی که دانش چندانی درباب نفوذ و هک ندارد، نیز میسر است. سوءاستفاده از این لطمه پذیری ها می تواند به بارگذاری فایل های مخرب و Shell در مسیرهای دلخواه هکرها منجر شود. با توجه به این که بیشتر ماشین ها، «وب سرور میزبان (IIS)» خودرا با دسترسی بالا اجرا می کنند، بدین سبب دستورات بوسیله وب شل مهاجم نیز با دسترسی ممتاز اجرا می شود که پتانسیل مخرب بالایی دارد و همین دسترسی سبب می شود که هکر یا هکرها به آسانی به اطلاعات حساس سازمان ها و دستگاهها دسترسی یابند. به سبب این که نسخه های لطمه پذیر Telerik از رمزنگاری ضعیفی در ارسال و دریافت پارامترها استفاده می نمایند، مهاجم سایبری، قادر می باشد با انجام حملاتی نظیر حمله دیکشنری و BruteForce با ارسال متوسط ۹۰۰ درخواست، کلید مورد نیاز (MachineKey) را به دست آورد. از آنجائیکه این لطمه پذیری، امنیت کل سرور هر سازمانی را تحت تأثیر قرار می دهد که همچنان از مؤلفه های (کامپوننت) قدیمی و لطمه پذیر Telerik استفاده می نماید، کارشناسان مرکز مدیریت راهبردی افتا از متخصصان، مدیران و کارشناسان حوزه IT دستگاه های دارای زیرساخت حیاتی می خواهند تا پورتال سازمانی خودرا بدون استفاده از محصولات Telerik توسعه دهند و چنانچه عدم استفاده از این محصولات بهر دلیلی ممکن نیست سفارش کرده اند به روزترین نسخه Telerik نصب و استفاده گردد که تا حالا لطمه پذیری روی آن، گزارش نشده است. اطلاع از زنجیره تامین کامپوننت ها و محصولات استفاده شده در پورتال های سازمانی، توجه به نسخه کامپوننت ها و محصولات و رصد لطمه پذیری های مربوط به آنها، فیلتر کردن هرگونه درخواست مشکوک به سوءاستفاده از لطمه پذیری های محصولات Telerik، از راهکارهای مقابله با نفوذ مهاجمان سایبری به سیستم های سازمانی بوسیله لطمه پذیری های Telerik است. بررسی های کارشناسان مرکز افتا همین طور نشان میدهد که رعایت سیاست های امنیتی می تواند در جلوگیری از تحقق و گسترش تهدیدات اخیر سایبری، مؤثر واقع شود. بنا بر این اجرای سیاست های امنیتی همچون محدودسازی استفاده از USB، استفاده از رمزهای عبور پیچیده و غیرقابل حدس، محدودیت استفاده از ابزارهای دسترسی ازراه دور مانند OpenVPN، حذف اسامی کاربری بلااستفاده، اعمال اصل حداقل دسترسی برای کاربران، به روز رسانی سامانه ها و تجهیزات و پویش سیستم و شبکه با ضد بدافزارهای معتبر و بروز باید اولویت سازمان ها و دستگاه های دارای زیرساخت حیاتی قرار گیرد. کارشناسان مرکز مدیریت راهبردی افتا با بررسی و تحلیل حوادث اخیر سایبری، جزییات فنی، چند مورد از مهم ترین لطمه پذیری های Telerik را مشخص کرده اند که به همراه راهکارهای فنی مقابله با دسترسی یافتن مهاجم یا مهاجمان سایبری، شیوه های افزایش امنیت پورتال ها و تنظیمات امنیتی، در آدرس اینترنتی این مرکز به آدرس منتشر شده است.
منبع: seomeo.ir