یکی از سرورهای ما از طریق ابزار مدیریت از راه دور هک شد • ثبت نام ⋆

تجزیه و تحلیل NordVPN امروز تلاش کرد تا نقض امنیتی را تضعیف کند که در آن شخصی برای اهداف ناشناخته وارد یکی از سرورهای خود شود.

این چیزی است که ما می دانیم: سوء استفاده ها قادر به سوء استفاده از یک سیستم مدیریت از راه دور ضعیف بودند ، در مارس سال 2018 به سرور ساخته شده است و به عنوان iLOAC یا iDRAC ، می توان کنترل جعبه را به دست آورد. آنها می توانند به کانتینرهای LXC که روی دستگاه کار می کنند ، دسترسی پیدا کنند و ادعا می شود که پرونده های نرم افزاری OpenVPN و کلیدهای رمزنگاری. گواهی TLS ، از زمان انقضا ، برای وب سایت nordvpn.com نیز از این سیستم دزدیده شده است.

این بدان معنی است که هر کسی که وارد سیستم شده باشد می تواند در ترافیک وب غیر HTTPS مشترکین NordVPN ، جستجوی DNS یا سایر اتصالات محافظت نشده از آنجا سرقت کند. از طریق آن دستگاه به خطر بیافتد. حدود 200 نفر ممکن است از این گره استفاده کرده باشند. NordVPN مطمئناً نمی داند زیرا فعالیت کاربران خود را وارد نمی کند. در همین حال ، گواهی TLS می تواند برای ایجاد یک کلاهبرداری nordvpn.com از وب سایت nordvpn.com استفاده شود تا نام های کاربری و رمزهای عبور را در یک حمله کلاسیک اشتباه در وسط بدست آورد.

برای افراد ناشناس ، NordVPN است. ارائه دهنده VPN بسیار محبوب: تقریباً 12 میلیون شهروند ترافیک اینترنت خود را از طریق 3،000 یا بیشتر سرورهای NordVPN ، که در سراسر سیاره پراکنده هستند ، هدایت می کنند. بنابراین ، به نظر می رسد اتصالات کاربران به وب سایت ها و سایر خدمات از جعبه های ارائه دهنده VPN سرچشمه می گیرد. این برای دستیابی به فیلترهای وب مفید است – به عنوان مثال ، اگر می خواهید به محتوای محدود شده فقط به ایالات متحده دسترسی پیدا کنید ، می توانید اتصالات خود را از سیستم های موجود در آمریکا نمایان کنید – و به خودتان کمی حفظ حریم خصوصی کنید. اتصالات بین رایانه یا تلفن شما و گره های NordVPN رمزگذاری شده است.

دو اعدام در یک اتاق سرور. باید اتفاق بیفتد هه عکس از Shutterstock

آیا می توانیم در مورد پشتیبان های کوچک در سرورهای مرکز داده صحبت کنیم ، لطفا؟

بیشتر بخوانید

در طول آخر هفته ، VPN biz با یک صدای توئیت حذف شده گفت: "هیچ هکری نمی تواند دزدی کند. زندگی آنلاین شما. (اگر از VPN استفاده می کنید). " در پاسخ ، یک گروه هکر با نام KekSec فاش کرد که برخی از سوء مصرف کنندگان دیگر در یکی از جعبه های شرکت شکسته شده اند ، و پرونده های مختلفی از جمله پیکربندی OpenVPN و کلید خصوصی مرتبط با آن را فاش کردند. سخنگوی NordVPN تأیید كرد كه سرور هك شده واقعاً یك گره خروج در شبكه خود است ، و هر كسی كه در دستگاه لجباز باشد می توانست روی بسته هایی كه از آن بیرون می رفت گول بزند.

"حتی اگر یك هكر بتواند ترافیك را هنگام مشاهده بودن مشاهده كند. به سرور متصل شده است ، او فقط می تواند یک ISP معمولی را ببیند ، اما به هیچ وجه نمی توان آن را شخصی سازی کرد یا به نام کاربری یا ایمیل خاص پیوند داد ، "شخص روابط عمومی NordVPN به ما گفت.

" ترافیک VPN تاریخی نمی تواند. نظارت شود. "

مطابق بیانیه رسمی NordVPN در رابطه با این امور ، سرور اجاره داده شده و در یک مرکز داده در فنلاند مستقر شده است. شخصی توانست از طریق یک رابط مدیریت از راه دور محافظت نشده از طرف صاحب سرور ، کنترل کادر جعبه لینوکس را به دست آورد: ادعا می شود این رابط به طور مؤثر از طرف ارائه دهنده VPN مخفی نگه داشته شده است ، به این معنی که هیچ راهی برای دانستن این جعبه در معرض خطر نیست. . این رابط مدیریتی به هر کسی که توانایی کنترل کامل سیستم را دارد ، می دهد: از آن به عنوان حالت خدا بیاندیشید. سیستمی وجود داشته است ، "دانیل ماركوسون NordVPN در بیانیه فوق ، كه در روز دوشنبه منتشر شده است ادعا كرد.

" این سرور خود شامل هیچ فعالیتهای كاربری نبود ، هیچ یك از برنامه های ما اعتبارهای ایجاد شده توسط كاربر را برای تأیید اعتبار ارسال نمی كنند ، بنابراین نام های كاربری و كلمه عبور نمی توانند. [توقیفشدهاستیا»

" هنگامی که ما در مورد این حادثه فهمیدیم ، بلافاصله یک ممیزی داخلی کامل را برای بررسی کل زیرساخت هایمان آغاز کردیم. ما دوبار بررسی کردیم که هیچ سرور دیگری نمی تواند از این طریق سوءاستفاده شود و شروع به ایجاد یک فرآیند برای انتقال همه سرورهای ما به RAM کردیم که قرار است سال آینده به اتمام برسد. ما همچنین نوار را برای همه مراکز داده که با آنها کار می کنیم ، بالا برده ایم. اکنون ، قبل از ثبت نام با آنها ، اطمینان حاصل می کنیم که آنها حتی استانداردهای بالاتری را رعایت می کنند. "

سرور در قلب این bruhhaha در ژانویه سال 2018 چرخانده شد ، ما به ما گفتند که رابط ناامن مدیریت از راه دور مشخص شد و طبق گفته Markuson ، صاحبان سرور در 20 مارس "بدون اطلاع" از NordVPN غیرفعال شد. طبق گفته Markuson ، فن آوری های ارائه دهنده VPN از سازش سرور در آن زمان آگاه شدند ، اگرچه در مورد حفره امنیتی ساکت بود – ظاهراً برای انجام آن "ممیزی داخلی کامل. "سرور همچنین غیرفعال شده است ، و قرارداد میزبانی لغو شده است. اعتقاد بر این است که وقفه یک بار در مارس 2018 ، قبل از 20 ماه آن رخ داده است. پرونده ها و کلیدهای پیکربندی به بیرون درز شده اکنون نامعتبر است.

" در اوایل سال 2018 ، به یک مرکز داده جدا شده در فنلاند بدون مجوز دسترسی پیدا شد. "مارکوسون اضافه کرد." این کار با سوء استفاده از آسیب پذیری یکی از ارائه دهندگان سرور ما انجام شده است که برای ما فاش نشده است. هیچ اعتبار کاربری رهگیری نشده است. هیچ سرور دیگری در شبکه ما تحت تأثیر قرار نگرفته است. سرور تحت تأثیر دیگر وجود ندارد و قرارداد با ارائه دهنده سرور خاتمه یافته است. "

نه خیلی سریع

NordVPN میزبان سرور مرکز داده مورد نظر را شناسایی نکرد ، اگرچه ما می دانیم که این لباس فنلاندی Creanova است ، مدیر عامل آن ، نیکو ویسکاري ، به گفت: "تقصیر این تقصیر را به دلیل عدم قفل کردن رابط مدیریت از راه دور ، که NordVPN از آن آگاه بود ، به طور جدی با NordVPN دراز می کشد." وی گفت: "رئیس اعدام ادعا كرد.

" بله ، ما می توانیم تأیید كنیم كه آنها مشتری ما بودند. "و ویكساری ادامه داد:" و آنها با امنیت خود مشكلی داشتند زیرا آنها خودشان از این مراقبت نمی كردند.

" ما می توانیم از ابزار دسترسی از راه دور iLO یا iDRAC استفاده کنیم ، و به هر حال این ابزار دسترسی از راه دور هر از گاهی مشکلات امنیتی دارد ، تقریباً در تمام نرم افزارهای دنیا. این ابزار را پیاده کردیم که سیستم عامل جدید از HP یا Dell منتشر شد. .

"ما متر داریم هر مشتری و برخی از ارائه دهندگان بزرگ خدمات VPN در میان آنها ، که بسیار به شدت از امنیت خود مراقبت می کنند. آنها بیشتر از NordVPN به این امر توجه می کنند و از ما می خواهند تا ابزار دسترسی از راه دور iLO یا iDRAC را در شبکه های خصوصی قرار دهیم یا دسترسی به این ابزار را تا زمانی که لازم باشد خاموش کنیم. وقتی درخواست مشتری را دریافت می کنیم ، بنادر [iLO or iDRAC] را بالا می آوریم و هنگام استفاده از این ابزارها آنها را خاموش می کنیم. به نظر می رسد NordVPN به خودی خود توجه بیشتری به امنیت نکرده است ، و به نوعی سعی کنید این را روی شانه های ما بگذارید. "

آه ، آن حساب

] همانطور که ما در حال آماده سازی برای انتشار این مقاله بودیم ، NordVPN به ما بازگشت و توضیح داد كه در حالی كه از رابطهای مدیریت از راه دور آگاه بود ، از یك حساب ناامن ایجاد شده توسط Creanova در سیستم مدیریت سرور مورد نظر خود آگاه نبود – حسابى كه توسط افراد متخلف برای هك جعبه استفاده شد.

"ما روابط عمومی NordVPN را گفتیم:" ما سیستم های تشخیص نفوذ را داریم ، اما متأسفانه ما در مورد حساب های کشف نشده استفاده نشده برای دسترسی به سیستم مدیریت سرور از راه دور سمت چپ [Creanova] آگاهی داشتیم. " توسط یک بازیگر مخرب به سرور ما دسترسی پیدا کنید. این طور نیست که ما در مورد راه حل نمی دانستیم. ما هرگز درباره حساب های اضافی که ایجاد شده اند و سپس حذف شده نمی دانستیم. "

به ما گفته می شود که این چیزی است که NordVPN در پرونده های خود دیده است:

" 19779 "،" Informative "،" 03/20/2018 07 : 25 "،" 03/20/2018 07:25 "،" 1 "،" پشتیبانی کاربر حذف شده توسط creanova. "،
"19778" ، "اطلاعات" ، "03/20/2018 07:25" ، "03/20/2018 07:25" ، "1" ، "مدیر کاربر حذف شده توسط creanova."

بنابراین ، ظاهراً NordVPN از این حسابهای مدیریتی که گفته می شود توسط Creanova ایجاد شده است ، بی اطلاع بوده است و حداقل یکی از آنها توسط هکرها برای ورود به سیستم آن توقیف شده است. در همین حال ، NordVPN در تلاش است تا یک پاداش اشکال را برپا کند ، تا به کسانی که به صورت خصوصی نقص های امنیتی را در دنده های آن آشکار می کنند ، پاداش دهد. ®

برای اولین بار گزارش سازش سرور ، TechCrunch را راهنمایی کنید.

حامی:
تحقق رویای چند ابر: راهکارهای روشن برای موفقیت