ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

94
94 امتیاز

امنیت, درز اطلاعات, سرقت اطلاعات, شبکه

شناسایی حملات سرقت اعتبار روی دستگاه‌های SonicWall SSLVPN

95نمایش

یک ارائه‌دهنده خدمات امنیت مدیریت‌شده از وقوع حملات سرقت اعتبار روی دستگاه‌های SonicWall SSLVPN خبر داده است.

طبق گزارش شرکت Huntress، این حملات شامل «نفوذ گسترده» به دستگاه‌های SonicWall SSLVPN است.

به گفته این شرکت: «بازیگران تهدید در حال ورود سریع و متوالی به چندین حساب کاربری در دستگاه‌های آلوده هستند. سرعت و مقیاس این حملات نشان می‌دهد که مهاجمان به‌جای brute-force، به احتمال زیاد دارای اعتبارنامه‌های واقعی هستند.»

ارتباط احتمالی با هشدار اخیر SonicWall

این گزارش پس از هشدار SonicWall منتشر شده است مبنی بر اینکه یک شخص غیرمجاز به فایل‌های پشتیبان تنظیمات فایروال مشتریانی که از سرویس پشتیبان‌گیری ابری شرکت استفاده کرده‌اند، دسترسی یافته است.

فایل‌های پشتیبان شامل داده‌های رمزگذاری‌شده و پیکربندی فایروال هستند. هرچند رمزگذاری، سوءاستفاده مستقیم از اعتبارنامه‌ها را دشوار می‌کند، اما SonicWall اعلام کرد که «در اختیار داشتن این فایل‌ها می‌تواند خطر حملات هدفمند را افزایش دهد.»

شرکت Huntress اعلام کرد تاکنون «هیچ مدرکی» برای ارتباط مستقیم بین این حملات و نقض پشتیبان‌های ابری SonicWall وجود ندارد، اما کاربران باید توصیه‌های امنیتی شرکت را جدی بگیرند و اقدامات پیشگیرانه را انجام دهند.

گستردگی حملات به SonicWall SSLVPN

طبق گزارش Huntress، این حملات در «چندین محیط مشتری» مشاهده شده‌اند.

بخش عمده فعالیت مهاجمان از تاریخ ۴ اکتبر آغاز شد و طی دو روز بعدی، موجی از ورودهای مشکوک ثبت گردید.

تا ۱۰ اکتبر، بیش از ۱۰۰ حساب SSLVPN در ۱۶ محیط مشتری تحت تأثیر قرار گرفته‌اند. تلاش‌های احراز هویت از آدرس IP 202.155.8[.]73 آغاز شده‌اند.

در برخی موارد، مهاجمان پس از ورود، فعالیت مخربی انجام نداده و به‌سرعت ارتباط خود را قطع کرده‌اند. اما در موارد دیگر، شواهدی از فعالیت‌های پس از نفوذ مشاهده شده است؛ از جمله اسکن شبکه داخلی و تلاش برای دسترسی به حساب‌های Windows محلی.

راهکارهای مقابله با حملات SonicWall SSLVPN

Huntress اقدامات زیر را برای کاهش خطر پیشنهاد داده است:

  • محدودسازی مدیریت از طریق WAN و دسترسی از راه دور در صورت امکان

  • غیرفعال کردن یا محدودسازی HTTP، HTTPS، SSH، SSLVPN و ورودی‌های مدیریتی تا زمان بازنشانی کامل اعتبارنامه‌ها

  • بازنشانی تمامی رمزها و کلیدها در دستگاه‌های آسیب‌دیده، شامل حساب‌های ادمین محلی، کلیدهای VPN، اعتبارنامه‌های LDAP/RADIUS/TACACS+، PSKهای بی‌سیم و رمزهای SNMP

  • لغو کلیدهای API خارجی، اعتبارنامه‌های Dynamic DNS، SMTP/FTP و سایر کلیدهای خودکار مرتبط با سیستم‌های فایروال

  • افزایش سطح logging و بررسی دقیق ورودهای اخیر و تغییرات تنظیمات

  • پس از بازنشانی، فعال‌سازی مجدد سرویس‌ها به‌صورت تدریجی و نظارت برای شناسایی دسترسی غیرمجاز احتمالی

  • فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای تمامی حساب‌های مدیریتی و از راه دور و اعمال اصل حداقل دسترسی (Least Privilege) در نقش‌های مدیریتی

به گفته‌ی Huntress، این حملات نشانه‌ای از افزایش تهدیدهای هدفمند علیه زیرساخت‌های VPN سازمانی است.
وب‌سایت Cyber Express برای دریافت نظر رسمی از SonicWall تماس گرفته و اعلام کرده به‌محض دریافت اطلاعات بیشتر، خبر را به‌روزرسانی خواهد کرد.

, , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

94
94 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
1
جالب
خنده‌دار خنده‌دار
0
خنده‌دار
انزجار انزجار
5
انزجار
عجیب عجیب
4
عجیب
ناراحت ناراحت
4
ناراحت
بد بد
2
بد
باحال باحال
1
باحال
خوب خوب
0
خوب
ترسناک ترسناک
6
ترسناک

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت