Cisco Web VPN؛ ابزار تازه‌ای برای به چنگ آوردن اطلاعات محرمانه‌ی کاربران

محققان Volexity هشدار دادند، یکی دیگر از محصولات سیسکو توسط رخنه‌گرها هدف قرار گرفته ‌است، آن‌ها دنبال یک راه دائمی به شبکه‌های رایانه‌ای و سامانه‌‌های سازمان‌های مختلف هستند. Cisco Clientless SSL VPN یک پرتال مبتنی بر وب است که می‌تواند برای دستگاه‌های درخواست امنیت تطبیقی (ASA) در یک شرکت که ساخت سیسکو هستند، فعال شود. وقتی یک کاربر برای یک Web VPN احراز هویت می‌شود، براساس اجازه‌هایی که کاربر دارد، ممکن است بتواند به منابع داخلی دسترسی داشته‌ باشند، به پرونده‌‌هایی که به صورت داخلی به اشتراک گذاشته شده‌اند دسترسی داشته باشند، و افزونه‌هایی را اجرا کنند که به آن‌ها امکان telnet، ssh، یا VNC به منابع داخلی را بدهد.
این مهاجمان، یا از یک آسیب‌پذیری در این محصول استفاده می‌کنند و یا تلاش می‌کنند که دسترسی در سطح مدیریت را از راه‌های دیگر به دست آورند، اما هدف نهایی یکسان است: پیاده‌سازی کد جاوااسکریپت روی صفحات ورود به VPN، برای رسیدن به اطلاعات کارمندان.
این آسیب‌پذیری (CVE-۲۰۱۴-۳۳۹۳) یک سال قبل وصله شد. با این وجود، سازمان‌ها در پیاده‌سازی این تعمیر کند بودند، و مهاجمان از این رخنه در حال استفاده هستند.
این کد مخرب جاوااسکریپت که در صفحات ورود Web VPN سیسکو تزریق شده، معمولاً روی وب‌‌گاه‌های قانونی ولی در معرض ‌خطر میزبانی می‌شود، و هر بار که پرتال مربوطه در دسترس کاربری قرار می‌گیرد، این کد دریافت می‌شود.
با توجه به گفته‌های این محققان، این حمله علیه مؤسسات درمانی و آکادمیک، شرکت‌های الکترونیکی/تولیدی و همچنین NGOها و دولت‌ها بوده است.
این محققان اشاره کرده‌اند که «Volexity می‌داند که این ۱۰۰٪ ممکن است و حدس می‌زند که در برخی موارد مهاجمان از دسترسی در سطح مدیریت به یک ASA سیسکو برای تغییر دادن صفحه ورود استفاده کرده‌اند.»
محققان همچنین گفته‌اند که این اتفاق ممکن است ازطریق Cisco Adaptive Security Device Manager (ASDM)، یک رابط مدیریتی جاوا برای دیوارهای آتش که می‌توان از طریق یک مرورگر وب به آن دسترسی داشت.
«دسترسی به ASDM دستگاه‌ها باید از طریق فهرست‌‌های کنترل دسترسی تاجایی که ممکن است محدود شود. حداقل، امکان دسترسی به این رابط از طریق اینترنت وجود نداشته باشد. مهاجمانی که به این رابط دسترسی پیدا می‌کنند، می‌توانند به راحتی کدی که روی صفحه‌ی ورود به Cisco Web VPN بارگذاری شده را تغییر دهند.»
متأسفانه، احراز هویت دو مرحله‌ای کمکی به جلوگیری از این حمله‌ی خاص نمی‌کند، چون مهاجمان می‌توانند به راحتی کد صفحه‌ی ورود به سامانه را طوری تغییر دهند که کوکی‌های جلسه را سرقت کنند و یا اطلاعات مربوط به احراز هویت را سرقت کرده و دوباره خودشان استفاده کنند.
با توجه به این‌که تشخیص این نوع حمله با ابزارهای امنیتی معمول دشوار است، و برای اطمینان از درست کار کردن ابزارها برای تشخیص این تهدید، مدیران شبکه باید کار خود را به خوبی انجام دهند.
کمتر از یک ماه قبل محققان FireEye در نقاط محتلفی از دنیا، کدهای مخربی روی مسیریاب‌های سیسکو پیدا کردند که یک نقطه‌ی ورود دائمی به شبکه هدف ایجاد می‌کرد.
این محققان پیشنهاد داده‌اند که «دیوارهای آتش، دستگاه‌های شبکه و هرچیز دیگری که یک مهاجم ممکن است بتواند از طریق آن دسترسی پیدا کند باید مورد بررسی قرار گیرد. همچنین هر رایانه یا کارگزاری که در یک سازمان وجود دارد»

منبع: ASIS

۲۷ مهر, ۱۳۹۴