IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

توصیه جدی به سازمان‌ها جهت جلوگیری از نقض: از SSL VPN کوچ کنید

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir recommends replacing ssl vpn to prevent breaches
مرکز امنیت سایبری ملی نروژ (NCSC) به دلیل استفاده مکرر از آسیب‌پذیری‌های مرتبط در دستگاه‌های لبه و ورودی شبکه برای نفوذ به شبکه‌های سازمانی، جایگزینی راه‌حل‌های SSLVPN/WebVPN را با راه‌حل‌های موجود، توصیه می‌کند.

این سازمان توصیه می‌کند که این فرایند انتقال و گذار تا سال 2025 نهایی شود، در‌حالی‌که سازمان‌های مشمول «قانون ایمنی» یا سازمان‌هایی که زیرساخت‌های حیاتی دارند باید جایگزین‌های امن‌تری را تا پایان سال 2024 برای خود جایگزین کنند.

توصیه رسمی NCSC برای کاربران محصولات شبکه خصوصی مجازی لایه سوکت امن یا Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN)، تغییر به امنیت پروتکل اینترنت یا Internet Protocol Security (IPsec) با تبادل کلید اینترنت یا همان Internet Key Exchange (IKEv2) است.

پروتکل SSL VPN و WebVPN با استفاده از پروتکل‌های SSL/TLS، دسترسی از راه دور امن به شبکه را از طریق اینترنت با استفاده از یک "تونل رمزگذاری" ایمن می‌کنند.

همچنین، IPsec با IKEv2 ارتباطات را با رمزگذاری و احراز هویت هر پکت با استفاده از مجموعه‌ای از key‌های بروزرسانی شده دوره‌ای، ایمن‌سازی می‌کند.

در اطلاعیه NCSC آمده است: "شدت آسیب‌پذیری‌ها و بهره‌برداری مکرر از این نوع آسیب‌پذیری توسط مهاجمان، به این معنی است که NCSC توصیه می‌کند راه‌حل‌هایی برای دسترسی از راه دور ایمن که از SSL/TLS استفاده می‌کنند با جایگزین‌های امن‌تر جایگزین شوند. NCSC جایگزینی IPsec توام با IKEv2 را توصیه می‌نماید".

در‌حالی‌که سازمان امنیت سایبری اذعان می‌کند که IPsec توام با IKEv2 عاری از نقص نیست، اما معتقد است تغییر به آن، سطح حمله برای حوادث دسترسی از راه دور ایمن را به دلیل کاهش تحمل خطا‌های پیکربندی در مقایسه با SSLVPN به میزان قابل توجهی کاهش می‌دهد.

اقدامات اجرایی پیشنهادی عبارتند از:

• پیکربندی مجدد راه‌حل‌های VPN موجود یا جایگزینی آنها
• انتقال تمامی کاربران و سیستم‌ها به پروتکل جدید
• غیرفعال کردن عملکرد SSLVPN و مسدود کردن ترافیک TLS ورودی
• استفاده از احراز هویت مبتنی بر گواهینامه

در مواردی که اتصال IPsec امکان‌پذیر نیست، NCSC پیشنهاد می‌کند به جای آن از پهنای باند 5G استفاده کنید.

در همین حال، NCSC همچنین اقدامات موقتی را برای سازمان‌هایی به اشتراک گذاشته است که راه‌حل‌های VPN آنها IPsec را با گزینه IKEv2 ارائه نمی‌دهند و برای برنامه‌ریزی و اجرای این گذار، به زمان نیاز دارند.

این موارد، شامل پیاده‌سازی ثبت فعالیت متمرکز VPN، محدودیت‌های سختگیرانه geofencing، و مسدود کردن دسترسی ارائه‌دهندگان VPN، نود‌های خروج Tor و ارائه‌دهندگان VPS است.

کشور‌های دیگر از‌جمله ایالات متحده آمریکا و بریتانیا نیز استفاده از IPsec را نسبت به پروتکل‌های دیگر، توصیه کرده‌اند.

انبوهی از معایب SSLVPN مورد سواستفاده قرار‌گرفته است
برخلاف IPsec که یک استاندارد باز است که اکثر شرکت‌ها از آن پیروی می‌کنند، SSLVPN استانداردی ندارد و باعث می‌شود تولیدکنندگان دستگاه‌های شبکه پیاده‌سازی پروتکل خود را ایجاد کنند.

با‌این‌حال، این مسئله منجر به کشف باگ‌های متعددی در طول سال‌ها در پیاده‌سازی‌های SSL VPN از Cisco، Fortinet و SonicWall شده است که هکر‌ها فعالانه از آنها برای نفوذ به شبکه‌ها سواستفاده می‌کنند.

به عنوان مثال، Fortinet در فوریه فاش کرد که گروه هک چینی Volt Typhoon از دو نقص FortiOS SSL VPN برای نفوذ به سازمان‌ها، از‌جمله یک شبکه نظامی هلندی، سواستفاده کرده است.

در سال 2023، عملیات باج‌افزار Akira و LockBit از یک SSL VPN در روتر‌های Cisco ASA برای نفوذ به شبکه‌های سازمانی، سرقت داده‌ها و رمزگذاری دستگاه‌ها سواستفاده کردند.

در اوایل همان سال، یک آسیب‌پذیری Fortigate SSL VPN به عنوان یک Zero-Day علیه دولت‌ها، صنایع تولیدی و زیرساخت‌های حیاتی مورد سواستفاده قرار گرفت.

توصیه‌های NCSC پس‌از‌آن ارائه می‌شوند که این سازمان اخیرا در مورد یک عامل تهدید پیشرفته هشدار داده است که از چندین آسیب‌پذیری روز صفر (Zero-Day) در VPN‌های Cisco ASA استفاده می‌کند که از نوامبر 2023 در زیرساخت‌های حیاتی به کار گرفته می‌شوند.

سیسکو این کمپین خاص را با نام «ArcaneDoor» فاش کرد و آن را به گروه تهدید رد‌یابی شده با نام «UAT4356» یا «STORM-1849» نسبت داد که دسترسی غیرمجاز به نشست‌های WebVPN مرتبط با خدمات SSL VPN دستگاه را به دست آورد.

این حملات شامل بهره‌برداری از دو آسیب‌پذیری روز صفر CVE-2024-20353 و CVE-2024-20359 بود، که هکر‌ها را قادر می‌ساخت تا به دور زدن احراز هویت، تصاحب دستگاه و افرایش اختیار به سطح ادمین دست یابند.

اگرچه سیسکو این دو آسیب‌پذیری را در 24 آوریل برطرف کرد، اما این شرکت امنیت سایبری و تجهیزات شبکه نتوانست تشخیص دهد که عوامل تهدید در ابتدا چگونه به دستگاه دسترسی پیدا کرده‌اند.

برچسب ها: UAT4356, STORM-1849, سونیک وال, SSLVPN, Internet Protocol Security, Internet Key Exchange, Secure Socket Layer Virtual Private Network, WebVPN, Volt Typhoon, SSL/TLS, Akira, IPsec, IKEv2, IPsec IKEv2, Virtual Private Network, فورتی‌نت, FortiOS SSL VPN, باج‌افزار, FortiGate, LockBit, Cisco ASA, Cisco, روز صفر, Fortinet VPN, Fortinet, Sonicwall, cybersecurity, malware, SSL VPN, ransomware , سیسکو, VPN, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل