سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.

آسیب‌ پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند. مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.

منابع خبر

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

•  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
•  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
•  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

‌Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

•  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
•  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
•  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
•  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها

• فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:
  

  مانیتور کردن مستمر وضعیت امنیتی

  • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

  

  اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

  • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

  

  ‌بررسی و رسیدگی سریع به تهدیدها

  • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

  انجام بررسی‌های چندگانه

  • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

  

  کلام آخر

  همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .

اخیرا Citrix با انتشار بیانیه ای امنیتی کاربران خود را از سه آسیب پذیری جدید NetScaler ADC و NetScaler Gateway با خبر کرد. از بین این سه آسیب پذیری، آسیب پذیری با شناسه CVE-2023-3519 شدیدترین است که سواستفاده ی موفقیت آمیز از آن، به مهاجمین احراز نشده اجازه ی اجرای کد از راه دور بر روی سیستم های آسیب پذیر که به عنوان دروازه (Gateway) تنظیم شده اند را می دهد.

• آسیب پذیری CVE-2023-3466: این آسیب پذیری از نوع Reflected XSS (XSS بازتابی) بوده و سو استفاده ی موفق از آن به دسترسی کاربر از طریق مرورگر به یک لینک کنترل شده توسط مهاجم درحالی که در یک شبکه به NetScaler IP (NSIP) متصل شده است دارد.
• آسیب پذیری CVE-2023-3467: باعث افزایش سطح دسترسی به ادمین root (nsroot) می شود.
• آسیب پذیری CVE-2023-3519: از نوع اجرای کد از راه دور احراز نشده است و برای آن دستگاه باید به صورت یک دروازه (Gateway) مثل VPN virtual server, ICA Proxy, CVPN RDP Proxy یا به صورت AAA  virtual server تنظیم شده باشد.
این محصول برای مهاجمین با هر سطح مهارتی، هدف محبوبی است و توصیه می شود کاربران در اسرع وقت آن را به یک نسخه ی اصلاح شده ارتقا دهند و منتظر پچ شدن آن نمانند.

محصولات آسیب پذیر:

هر سه آسیب پذیری در محصولات زیر رفع شده است:

منابع : https://gbhackers.com/zero-day-vulnerability-citrix-netscaler/

مایکروسافت، بروزرسانی های جدیدی برای رفع  132 آسیب‌ پذیری امنیتی جدید، در نرم افزار خود منتشر کرد که شامل 6 آسیب‌ پذیری zero-day است که اکسپلویت شده است. از بین این آسیب پذیری ها، 9 آسیب‌ پذیری بحرانی و 122 آسیب پذیری مهم ارزیابی شده اند. این آسیب پذیری ها، علاوه بر 8 آسیب‌ پذیری است که در پایان ماه گذشته، در Edge browser مبتنی بر Chromium خود وصله کرد.

مایکروسافت، در صورتی یک آسیب پذیری را به عنوان zero-day ارزیابی می کند که بصورت عمومی افشا شود و یا اکسپلویت شود. 6 آسیب پذیری zero-day که بطور فعال اکسپلویت شده اند، شامل این موارد هستند:

در این آسیب پذیری، مهاجم حقوق کاربری را که برنامه آسیب پذیری را اجرا میکند را بدست می آورد. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است. مایکروسافت این آسیب پذیری را که با باز کردن یک فایل ساختگی، از طریق ایمیل یا وب-سایت های مخرب اکسپلویت شده بود را برطرف کرده است.

مهاجمان از این آسیب پذیری برای جلوگیری از نمایش Open File – Security Warning هنگام دانلود و بازکردن فایل ها از اینترنت اکسپلویت کرده اند. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است.

این آسیب پذیری، به مهاجم اجازه میدهد تا حساب ادمین را در دستگاه ویندوز به دست آورند. مهاجم باید به دستگاه مورد نظر دسترسی محلی داشته باشد و با حقوق محدودی که کاربران عادی بطور پیش فرض دارند، باید بتواند پوشه ها و ردیابی عملکرد روی دستگاه ایجاد کند.

 CVE-2023035311 – Microsoft Outlook Security Feature Bypass Vulnerability

این آسیب پذیری، هشدارهای امنیتی را دور می زند و در صفحه پیش نمایش کار می کند. مهاجم با استفاده از این آسیب پذیری، می تواند اعلان امنیتی Microsoft Outlook را دور بزند. مایکروسافت، این آسیب پذیری را رفع کرده است.

CVE-2023-36884- Office and Windows HTML Remote Code Execution Vulnerability

مایکروسافت دستورالعمل‌هایی را در موردMicrosoft Office  و ویندوز zero-day وصله نشده منتشر کرده است که امکان اجرای کد از راه دور را، با استفاده از اسناد Microsoft Office  ایجاد می کند. همچنین، در حال بررسی گزارش های تعدادی از آسیب پذیری های اجرای کد از راه دور است که بر ویندوز و محصولات Office تأثیر می گذارد. مهاجم می تواند، یک سند Microsoft Office  ساخته شده ایجاد کند که اجازه می دهد، کد از راه دور را در زمینه قربانی انجام دهند. با این حال، یک مهاجم باید قربانی را متقاعد کند که فایل مخرب را باز کند.

ADV230001- Malicious use of Microsoft-signed drivers for post-exploitation activity

مایکروسافت اعلام کرده است که درایورهای تایید شده، توسط برنامه توسعه سخت افزار ویندوز مایکروسافت، به طور مخرب اکسپلویت شده اند. در این حملات، مهاجم قبل از استفاده از درایورها، حساب های مدیریتی را بر روی سیستم های در معرض خطر به دست آورده بود. چندین حساب توسعه دهنده، برای مرکز شریک مایکروسافت (MPC) درگیر ارسال درایورهای مخرب، برای به دست آوردن امضای مایکروسافت بوده اند. همه حساب‌های توسعه‌دهنده درگیر، در این حادثه بلافاصله به حالت تعلیق درآمدند.

منبع : thehackernews.com

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده روز پنجشنبه، آسیب پذیری CVE-2023-20887 را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده خود اضافه کرده است و این اتفاق چند روز پس از آن که چندین محقق نگرانی‌هایی را در مورد این موضوع مطرح کرده و VMWare نیز تأیید کرده است که شاهد بهره‌برداری از این آسیب پذیری در وب بوده است، رخ داده است.

این آسیب پذیری، عملگرهای مخصوص شبکه وی ام ور آریا (VMware Aria Operations for Networks) را تحت تاثیر قرار می دهد، محصولی که توسط مدیران شبکه برای مدیریت استقرار وی ام ور و کوبرنتس (Kubernetes) استفاده می شود.

وی ام ور در توصیه نامه خود می گوید:

یک عامل مخرب با دسترسی شبکه به عملگرهای مخصوص شبکه وی ام ور آریا، ممکن است بتواند یک حمله تزریق فرمان را انجام دهد که منجر به اجرای کد از راه دور خواهد شد.

این آسیب پذیری، امتیاز 9.8 از 10 دارد که نشان دهنده شدت بحرانی بودن آن است و توسط شخصی که با ابتکار روز صفر ترند میکرو (Trend Micro Zero Day Initiative) کار می کند، گزارش شده است.

وی ام ور در 13 ژوئن تایید می کند که کد اکسپلویت پس از انتشار یک محقق به نام سینسینولوژی (SinSinology) در صفحه گیتهاب (GitHub) خود منتشر شده است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده و وی ام ور از مشتریان می خواهند تا سیستم های خود را به آخرین نسخه به روز کنند.

جیکوب فیشر، محققی از شرکت امنیتی گرینویز (GreyNoise)، هفته گذشته گفته بود که آن‌ها مشاهده کرده‌اند که فعالیت اسکن انبوه با استفاده از کد اثبات مفهومی را مشاهده کرده‌اند.

اندرو موریس، مدیرعامل گرینویز نیز نمودارهایی را به اشتراک گذاشته که نشان دهنده بهره برداری از این آسیب پذیری است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده پنج آسیب‌پذیری دیگر را به فهرست خود اضافه کرده است، از جمله سه آسیب‌پذیری که سرویس ایمیل راوند کیوب (Roundcube) را تحت تأثیر قرار می‌دهند که توسط هکرهای روسی مورد سوء استفاده قرار گرفته اند و مقامات دولتی اوکراین را هدف قرار داده اند.

تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA) و محققان گروه اینسیکت (Insikt) به خبرگزاری ریکوردد فیوچر (Recorded Future) می گویند که این کمپین را به ای پی تی 28 (APT28) که با نام‌های فنسی بر (Fancy Bear) و بلو دلتا (BlueDelta) نیز شناخته می‌شود، نسبت می دهند و چندین دولت غربی معتقدند که در اداره اصلی ستاد کل نیروهای مسلح  نیروهای فدراسیون روسیه (GRU) اداره می‌شود.

این کمپین صندوق‌های ایمیل دفتر دادستانی منطقه، یک مقام اجرایی ناشناس اوکراینی، سایر نهادهای دولتی و سازمانی را که در به‌روزرسانی و نوسازی زیرساخت‌های هواپیماهای نظامی دخیل بوده اند، هدف قرار داده است.

در کنار اشکالات راوند کیوب (Roundcube)، دو آسیب‌پذیری مربوط به سال 2016 وجود دارد: آسیب پذیری موزیلا فایرفاکس به نام CVE-2016-9079 و آسیب پذیری مربوط به مایکروسافت ویندوز32کی (Microsoft Win32k) که با نام CVE-2016-0165 شناخته می شود.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده می گوید که تمام آسیب‌پذیری‌ها باید تا 13 جولای اصلاح شوند.

تیم وردپرس این هفته از انتشار نسخه 6.0.2 سیستم مدیریت محتوا (CMS) با پچ‌های سه باگ امنیتی، از جمله آسیب‌پذیری تزریق SQL با شدت بالا خبر داد.

این مشکل در عملکرد لینک وردپرس، که قبلاً به عنوان «Bookmarks» شناخته می‌شد، شناسایی گردید، این مشکل تنها بر نصب‌های قدیمی‌تر تأثیر می‌گذارد، زیرا این قابلیت به طور پیش‌فرض در نصب‌های جدید غیرفعال است.

تیم Wordfence در شرکت امنیتی وردپرس با نام Defiant می‌گویند: “با این حال، این عملکرد ممکن است همچنان در میلیون‌ها سایت قدیمی وردپرس فعال باشد، حتی اگر آن‌ها نسخه‌های جدیدتر CMS را اجرا کنند.”

مجموعه Wordfence در ادامه می‌گوید: “با امتیاز CVSS 8.0، نقص امنیتی به اختیارات مدیریتی نیاز دارد و در پیکربندی‌های پیش‌فرض به راحتی نمی‌توان از آن بهره‌برداری کرد، اما ممکن است پلاگین‌ها یا تم‌هایی وجود داشته باشند که به کاربرانی با اختیارات پایین‌تر (مانند سطح ویرایشگر و پایین‌تر) اجازه راه‌اندازی آن را می‌دهند.”

مجموعه Wordfence توضیح می‌دهد: «نسخه‌های آسیب‌پذیر وردپرس نتوانستند آرگومان محدود جستجوی بازیابی لینک را در فانکشن get_bookmarks که برای اطمینان از بازگشت تعداد معینی از پیوند‌ها استفاده می‌شود، با موفقیت پاکسازی کنند.

در پیکربندی پیش‌فرض، تنها ویجت قدیمی Links فانکشن را به گونه‌ای فراخوانی می‌کند که کاربر بتواند آرگومان حد را تنظیم کند. با این حال، به دلیل حفاظت در ویجت‌های قدیمی، این آسیب‌پذیری برای بهره‌برداری بی‌اهمیت است.

هر دو آسیب‌پذیری باقی‌مانده در وردپرس 6.0.2 باگ‌های اسکریپت‌نویسی متقابل سایت (XSS) با شدت متوسط ​​هستند که به دلیل استفاده از عملکرد «the_meta» و خطا‌های غیرفعال‌سازی و حذف افزونه ایجاد می‌شوند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای اسکریپت‌های تزریق شده در کلید‌ها و مقادیر پست یا کد جاوا اسکریپت در پیام‌هایی شود که هنگام غیرفعال شدن یا حذف افزونه‌ها به دلیل خطا نمایش داده می‌شوند.

به ادمین‌های وب‌سایت‌ها توصیه می‌شود در اسرع وقت نسخه‌های خود را به وردپرس 6.0.2 بروزرسانی کنند (بروزرسانی به طور خودکار به سایت‌هایی که از بروزرسانی‌های پس‌زمینه پشتیبانی می‌کنند ارائه می‌شود). تیم وردپرس خاطرنشان می‌کند که پچ‌ها به وردپرس 3.7 و نسخه‌های جدیدتر بکپورت شده‌اند.

مجموعه VMware و کارشناسان از کاربران می‌خواهند چندین محصول را که تحت تأثیر یک آسیب‌پذیری حیاتی بای پس احراز هویت قرار گرفته‌اند پچ کنند، که می‌تواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقص‌ها را بدهد.

به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری می‌شود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سه‌شنبه برای نقص‌هایی که به راحتی می‌تواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.

باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناک‌ترین عضو این آسیب‌پذیری‌ها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح می‌شود.

به گفته محققان، این امر هم‌اکنون به نیاز سازمان‌های آسیب‌دیده از این نقص برای اصلاح فوریت می‌بخشد.

کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در‌ ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیب‌پذیری‌های VMware را هدف قرار می‌دهند و proof-of-concept آینده، سازمان‌ها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهره‌برداری از این نقص این احتمال را ایجاد می‌کند که مهاجمان می‌توانند زنجیره‌های سواستفاده بسیار دردسرسازی را ایجاد کنند. »

پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیب‌پذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد.

طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر می‌گذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیب‌پذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، می‌تواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.

تیلیس مشاهده کرد، علاوه بر آن، این آسیب‌پذیری دروازه‌ای برای بهره‌برداری از سایر نقص‌های اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.

باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیب‌پذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه می‌دهد تا RCE را راه‌اندازی کند.

باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیب‌پذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.

شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبه‌بندی شده است. دو آسیب‌پذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) به‌عنوان مهم رتبه‌بندی شدند. یک آسیب‌پذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) به‌عنوان مهم رتبه‌بندی شده است. یک آسیب‌پذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط ​​رتبه‌بندی شده است. و یک آسیب‌پذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) به‌عنوان متوسط ​​رتبه‌بندی شده است.

پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچ‌ها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکه‌های سازمانی، از مشکلات امنیتی خود رنج می‌برد.

به عنوان مثال، در اواخر ژوئن، سازمان‌های فدرال درباره حمله مهاجمان به سرور‌های VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیب‌پذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهره‌برداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان به‌طور مستمر روی VMware و دیگر پلتفرم‌ها هدف قرار گرفته است.

در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقص‌های موجود را هدف قرار می‌دهند.

این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرال‌رزرو‌ها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفته‌ای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیب‌پذیری توسط فروشنده استفاده می‌کنند.

به گفته یک متخصص امنیتی، اگرچه همه نشانه‌ها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره می‌کنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیه‌ها توجه شود، این خطر در آینده به شکل قابل پیش‌بینی ادامه خواهد داشت.

گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکت‌ها در ابتدا تمایل دارند سریع‌ترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جا‌هایی را که مهاجمان می‌توانند از یک نقص سواستفاده کنند را فراموش می‌کنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته می‌شود.

«مهم‌ترین خطر برای شرکت‌ها سرعت اعمال پچ‌های حیاتی آن‌ها نیست. فیتزجرالد می‌گوید، این از اعمال نکردن پچ‌ها در هر زمینه ناشی می‌شود. واقعیت ساده این است که بیشتر سازمان‌ها در نگهداری موجودی دارایی‌های فناوری اطلاعات به‌روز و دقیق شکست می‌خورند، و دقیق‌ترین رویکرد برای مدیریت پچ نمی‌تواند تضمین کند که همه دارایی‌های سازمانی در نظر گرفته و حفظ می‌شوند.»