شناسایی حساب کاربری Backdoor مخفی در برخی تجهیزات فایروال و AP Controllerهای زایکسل

اخیرا آسیب­ پذیری با شناسه CVE-2020-29583 (با امتیاز CVSS-7.8) بر روی تجهیزات Firewall و AP Controllerهای زایکسل منتشر گردیده که نشان می­دهد میان­افزار نسخه ۴٫۶۰ برخی از این تجهیزات، حاوی یک حساب کاربری غیر مستند (zyfwp) و به صورت هاردکد شده با رمز عبور غیرقابل تغییر می­باشد. رمز عبور این حساب کاربری را می­توان به صورت متن­واضح در میان افزار شناسایی نمود. از این حساب کاربری می­توان برای ورود به ssh server یا واسط وبی با سطح دسترسی Admin و به مخاطره انداختن تجهیزات شبکه استفاده نمود. این آسیب­پذیری، طیف وسیعی از تجهیزات زایکسل از قبیل USG(Unifi Security Gateway)، USG Flex، ATP و محصولات VPN Firewall را تحت تاثیر قرار می­دهد. زایکسل، وصله امنیتی برای رفع این آسیب­پذیری حیاتی بر روی تجهیزات Firewall را در دسامبر ۲۰۲۰ تحت عنوان ZLD V4.60 Patch1 منتشر نموده است. همچنین اعلام نموده که وصله امنیتی مربوط به AP Controllerها در آوریل ۲۰۲۱ منتشر خواهد شد. براساس توصیه­نامه منتشر شده توسط زایکسل، حساب کاربری غیرمستند (zyfwp) دارای رمز عبور غیرقابل تغییر “PrOw!aN_fXp” می­باشد. از آنجایی که کاربر zyfwp از سطح دسترسی Admin برخوردار است لذا این آسیب ­پذیری، یک آسیب­پذیری حیاتی می­باشد که با استفاده از آن مهاجم قادر است به طور جدی محرمانگی، یکپارچگی و دردسترس بودن تجهیزات را به مخاطره بیاندازد. به عنوان مثال، مهاجم با سوء­استفاده از این آسیب­ پذیری قادر است تنظیمات فایروال را تغییر دهد تا ترافیک خاصی را مجاز یا مسدود کند. همچنین می­تواند ترافیک را شنود نماید یا حساب های VPN برای دسترسی به شبکه موجود در پشت دستگاه ایجاد کند. ترکیب این آسیب­پذیری با آسیب‌پذیری دیگری مانند Zerologon، می تواند برای مشاغل کوچک و متوسط مخرب باشد. اکیدا توصیه می­گردد که به منظور کاهش میزان مخاطره مرتبط با این آسیب­پذیری، مدیران (Administrators) و کاربران نسبت به نصب به ­روزرسانی­ های ضروری میان افزار اقدام نمایند.

نکات امنیتی دورکاری ویژه مدیران/راهبران

  1. امن‌سازی زیرساخت شبکه و سرویس‌های سازمان بر اساس بهین تجربیات امنیتی معتبر
  2. پیکربندی امن تجهیزات امنیتی از قبیل فایروال و WAF
  3. پیاده‌سازی مکانیزم احراز هویت دو عاملی برای سامانه‌ها و سیستم‌های حساس
  4. به‌روزرسانی آنتی ویروس‌ها
  5. نصب سریع وصله‌های امنیتی و به‌روزرسانی‌ها
  6. محدودسازی استفاده از نرم‌افزارهای ارتباط راه‌دور از قبیل AnyDesk و TeamViewer
  7. پیاده‌سازی امن راهکارهای VPN به منظور برقراری ارتباط راه­دور کارکنان با سیستم­ها و شبکه­های سازمانی
  8. عدم استفاده از پروتکل‌های نا‌امن و دارای آسیب‌پذیری
  9. عدم باز نمودن پورت‌های مدیریتی و دسترسی راه دور از قبیل RDP، VNC و SSH به طور مستقیم بر روی اینترنت
  10. تنظیم Timeout محدود و کوتاه برای تمامی نشست‌های راه دور کاربران
  11. پایش کلیه اتصالات و دسترسی­های راه دور
  12. تخصیص حساب‌های کاربری منحصربفرد برای هر فرد
  13. اختصاص مجوزهای کاربران بر اساس اصل حداقل دسترسی مورد نیاز
  14. ارائه روش‌های ارتباطی مناسب از قبیل ایمیل یا شماره تلفن به کارکنان جهت گزارش رخدادها و حملات سایبری
نکات امنیتی دورکاری ویژه مدیران/راهبران

١٩ گام امنیتی برای شکست COVID-19

  1. انتخاب یک مکان مستقل و غیر عمومی برای انجام دورکاری
  2. استفاده از رایانه اختصاصی برای انجام وظایف
  3. استفاده از کلمات عبور قوی و پیچیده
  4. اجتناب از به اشتراک­گذاری رمز عبور با سایرین
  5. استفاده از احراز هویت دو عاملی
  6. استفاده از VPN برای اتصال به شبکه سازمان
  7. استفاده از آنتی‌ویروس معتبر و به‌روز
  8. نصب سریع وصله‌های امنیتی و به‌روزرسانی‌ها
  9. عدم استفاده از شبکه بی‌سیم ناامن
  10. پشتیبان‌گیری از داده‌ها و اطلاعات مهم در تجهیز ذخیره‌ساز خارجی
  11. استفاده از فضای ابری مورد تایید سازمان برای ذخیره اطلاعات
  12. عدم استفاده از نرم‌افزارهای ارتباط راه‌دور از قبیل AnyDesk و TeamViewer
  13. عدم بکارگیری ابزارهای ارتباطی از قبیل Whatsapp، Telegram، Linkedin برای تبادل اطلاعات
  14. عدم کلیک بر روی ایمیل‌ها، لینک‌ها و باز نمودن فایل‌های مشکوک
  15. رمزنگاری اطلاعات ذخیره شده و در حال انتقال
  16. عدم استفاده از حساب کاربری با سطح دسترسی بالا برای انجام کارهای عادی
  17. قفل نمودن سیستم در زمان ترک آن
  18. گزارش رخدادهای سایبری و موارد مشکوک به سازمان
  19. اطمینان از مسدود بودن میکروفون و وب­کم‌ها در زمان عدم استفاده
19 گام امنیتی برای شکست Covid 19.png

راهنمای امنیتی؛ نکات امنیتی دورکاری کارکنان در سازمان‌ها

راهنمای امنیتی؛ نکات امنیتی دورکاری کارکنان در سازمان­‌ها قبل از مطالعه بدانید: در این راهنما به درست/نادرست بودن دورکاری اشاره ای نگردیده، زیرا که سیاست‌ها و نیازهای سازمان‌ها متفاوت است. پس با فرض اینکه به این نتیجه رسیده‌­اید که دورکاری در شرکت یا سازمان شما انجام گردد، می­­‌توانید از این راهنما در خصوص افزایش امنیت […]

شکار تهدیدهای سایبری چه منافعی به دنبال دارد؟

شکار تهدید منافع زیادی برای سازمان‌ها با هر اندازه‌ای به دنبال دارد. این منافع منحصر به شکار تهدیدهای سایبری است، زیرا این فرآیند تهدیدها را در حوزه‌هایی تشخیص می‌دهد که ممکن است خارج از گستره عملیات کنترل‌ها یا دستگاه‌های امنیت سایبری موجود باشد. این کار با استفاده از شکارچیان تهدید ماهری انجام می‌شود که ترکیبی از ابزارهای خودکار و تکنیک‌های بررسی دستی را بکار می‌گیرند. کنترل‌ها یا دستگاه‌های موجود می‌توانند شامل سیاست‌ها و رویه‌ها یا ابزارهای امنیتی خودکار مانند سیستم‌های تشخیص نفوذ شبکه یا فایروال‌ها باشند.

بطور خاص، شکار تهدیدهای سایبری مزایای زیر را به همراه دارد:
• تضمین اینکه کنترل‌های امنیت سایبری موجود در محافظت از سازمان در برابر نفوذ یا حملات مؤثر واقع می‌شوند.
• توصیه‌هایی برای بهبود کنترل‌های موجود امنیت سایبری یا معرفی کنترل‌های جدید بر اساس واقعیت‌های صریح که به پشتیبانی از هرگونه سرمایه‌گذاری از محل بودجه‌های امنیت سایبری کمک می‌کند.
• محافظت در برابر مهاجمان در هر قالب و شکلی اعم از بدافزارها، تهدیدات داخلی، بازیگران مخرب خاص، پیکربندی نامناسب یا طراحی ناامن. شکار تهدیدهای سایبری به خاطر قابلیت محافظت در برابر تهدیدات داخلی و نشت داده‌ها- از طریق شناسایی عدم انطباق با سیاست‌های امنیت سایبری که کارکنان باید به آنها پایبند باشند- فوق‌العاده مفید واقع می‌شود.
بدون کمک کارشناسی، هیچ سازمانی صرفنظر از اندازه و مقیاس، نمی‌تواند اطمینان داشته باشد که در سیستم‌های آن بدافزاری وجود ندارد. برای ما که بررسی‌های استاندارد روی سیستم عامل‌ها، برنامه‌های کاربردی و شبکه و سرویس‌های ابری انجام می‌دهیم، عدم کشف شواهدی از بدافزار امری غیرمعمول است. وقتی بدانیم که چه چیزی را جستجو کنیم و ابزارها و روش‌های درستی برای شکار تهدیدها داشته باشیم، می‌توانیم با ایزوله‌سازی و از بین بردن تهدید، این نوع ریسک‌ها را کاهش دهیم. پس از تحلیل فورنسیک دیجیتال، می‌توانیم گزارش دقیقی از خسارت وارده ارائه کرده و مشتریان خود را در ارزیابی مناسب ریسک‌های شرایط موجود با توجه به همه واقعیت‌ها، کمک کنیم.

چگونه می‌توان شکار تهدید را در امنیت سایبری گنجاند؟

فرآیندهای شکار تهدید به هیچ وجه یکسان نیستند و به همین دلیل است که فرآیند شکار تهدیدهای سایبری باید بخشی از استراتژی مستمر امنیت سایبری باشد و برای آگاهی از آنچه در زیرساخت‌های سازمان رخ می‌دهد بطور مرتب به عملیات خود ادامه دهد.

شکار تهدیدهای سایبری مؤلفه‌های موجود استراتژی امنیت سایبری را تکمیل و تقویت می‌کند:
• تست نفوذپذیری
که در واقع ارزیابی برنامه‌های کاربردی یا زیرساخت‌ها از خارج از سازمان است و آسیب‌پذیری‌های شناخته شده در برنامه‌های کاربردی یا طراحی و پیاده‌سازی سیستم‌ها اکسپلویت می‌کند. شکار تهدیدهای سایبری نشانه‌های نفوذ یا حمله‌ای که قبلا رخ داده را در درون زیرساخت سازمان جستجو می‌کند و این کار را احتمالا (البته نه منحصرا) از طریق اکسپلویت آسیب‌پذیری‌های قبلا شناسایی شده در تست نفوذپذیری انجام می‌دهد.

• مراکز عملیات امنیت (SOCs)
یا روش‌ها یا ابزارهای پایش امنیت عمومی مانند SIEM (مدیریت امنیت، اطلاعات و رویدادها) زیرساخت‌های سازمان را برای یافتن شواهد هرگونه فعالیت مخرب، تقریبا به صورت بلادرنگ پایش می‌کنند. شکار تهدید با دسترسی کنشگرانه به سیستم‌های شبکه و بررسی داده‌هایی که ممکن است از زمان‌بندی قابلیت SOC خارج شده یا خارج از حوزه SOC تلقی شده باشند- پایش زنده رویدادهای امنیتی سازمان‌ها را تکمیل می‌کند.

• سیاست‌های امنیتی کاربر نهایی
سیاست‌ها و رویه‌هایی هستند که کارکنان هر سازمانی به منظور امن‌سازی سازمان خود ملزم به پیروی از آنها هستند؛ سیاست‌هایی مانند عدم انتقال اطلاعات شرکتی به منزل در حافظه‌های USB یا عدم دسترسی به رایانامه یا سرویس‌های اشتراک فایل شخصی در رایانه‌های شرکت. همیشه راه‌هایی برای دور زدن سیاست‌های نرم مانند این وجود دارد. شکار تهدیدهای سایبری از این قابلی برخوردار است که مجموعه‌ای از الزامات سیاستی را دریافت کرده و بطور کنشگرانه‌ای، داده‌ها را برای شناسایی هرگونه عدم انطباق احتمالی یا تهدیدات داخلی جستجو کند. صرفنظر از اینکه کاربران رفتار مخربی داشته باشند یا خیر، مسئولیت همه سازمان‌ها این است که با حصول اطمینان از انطباق کارکنان با قوانین و سیاست‌ها، از داده‌های خود و مشتریان محافظت به عمل آورد.

شکار تهدیدهای سایبری به چه معناست؟

شکار تهدیدهای سایبری فرآیندی است که در آن، زیرساخت سازمان به منظور کشف شواهد تهدیداتی که به طرق دیگر ناشناخته مانده است، به صورت کنشگرانه مورد جستجو قرار می‌گیرد. در واقع این فرآیند، آلودگی سازمان را نشان می‌دهد.
۷Safe می‌تواند شکار تهدید را برای هر سازمان بر اساس زیرساخت، سیاست‌ها و رویه‌های موجود و اولویت‌های مرتبط با امنیت سایبری آن، سفارشی‌سازی و متناسب کند.
در سبد سرویس‌های امنیت سایبری سازمان‌ها، گنجاندن شکار تهدیدهای سایبری بین تست نفوذپذیری و ریسک و انطباق می‌تواند مناسب‌ترین حالت ممکن باشد.

شکار تهدیدهای سایبری چه چیزهایی را افشا می‌کند؟

شکار تهدیدهای سایبری چه چیزهایی را افشا می‌کند؟
یافته‌های شکار تهدیدهای سایبری بستگی به گستره مورد توافق فعالیت آن خواهد داشت. بنابراین سازمان باید از ابتدا اولویت‌های خود در رابطه با شکار تهدیدها را مشخص کند که از جمله این اولویت‌ها می‌توان به تهدیدات خارجی، فعالیت مشکوک کاربران، نرم‌افزارهای ناامن، نشت داده‌ها یا بسیاری گزینه‌های دیگر اشاره کرد.

برخی اطلاعات که ۷Safe می‌تواند با سرویس شکار تهدید ارائه دهد عبارتند از:
• داده‌های خارج شده از سازمان با استفاده از برنامه‌های کاربردی اشتراک‌گذاری فایل شرکت‌های پیمانکار
• داده‌های شخصی ذخیره شده در موقعیت‌های ناامن
• نرم‌افزارهای منسوخ شده یا وصله نشده‌ای که در سیستم‌های حیاتی اجرا می‌شوند
• سوءاستفاده از حقوق راهبران سیستم‌ها
• داده‌های حساسی که مرتبا در دستگاه‌های قابل حمل کپی می‌شوند و خارج از حوزه کنترل‌های امنیتی قرار دارند
• برنامه‌های ناشناخته یا غیرمجازی که در سیستم‌های کاربران اجرا می‌شوند
• فعالیت‌های غیرمعمول دسترسی فایل که در سیستم‌های اشتراک‌گذاری فایل ثبت شده است
• ارتقاء غیرمجاز حقوق دسترسی در حساب کاربران عادی که نشانگر وجود بدافزار یا فعالیت عوامل مخرب داخلی است
• تشخیص ترافیک غیرمعمول در شبکه از سیستم‌های مرکزی.

شکار تهدیدهای سایبری چگونه انجام می‌شود؟

فرآیند شکار تهدید با یک کارگاه آغاز می‌شود. هدف از برگزاری این کارگاه، آشنایی با زیرساخت‌های سازمان به منظور شناسایی مؤثر مناسب‌ترین داده‌ها برای بررسی است. پس از این مشاوره اولیه، کارشناسان مجرب شکار تهدید در سازمان مستقر می‌شوند تا به جمع‌آوری داده‌های مناسب و تشخیص تهدیدها بپردازند. در نهایت نیز گزارش تهدید متناسب با سازمان، همه یافته‌ها را به شیوه‌ای قابل فهم ارائه می‌کند تا جذب و اشتراک‌گذاری آن بین کارکنان امنیت سایبری آسان باشد. برای کمک به پیاده‌سازی اقدامات اصلاحی، می‌توان یافته‌های فنی عمیق را نیز به عنوان پیوست ارائه کرد.