Aviatrix ، تأمین کننده شبکه های خصوصی مجازی شرکت منبع باز (VPN) برای مشتریانی از جمله BT ، Nasa و Shell ، یک آسیب پذیری جدی را در مشتری خود دارد که می تواند امتیازات تشدید مهاجمان را بر روی دستگاهی که قبلاً از آن برخوردار بود ، بدست آورد.
الكس سيمور ، محقق و مهندس محتواي Immersive Labs ، اين آسيب پذيري را پس از توجه به اينكه مشتری VPN هنگام بوت كردن بر روي دستگاه لينوكس به طور غيرمعمول شفاف بود ، آشكار كرد.
امکان وجود بازیگران تهدیدکننده تحت حمایت دولت از طریق آسیب پذیری های VPN در محصولات از امثال Pulse Secure ، Palo Alto Networks و Fortinet ، سازمان های برجسته را هدف قرار می دهد.
هم آژانس امنیت ملی ایالات متحده (NSA) و هم مرکز ملی امنیت سایبری انگلیس ( NCSC) در اکتبر سال 2019 مشاوره هایی را برای این منظور صادر کرد.
"این امر تأکید می کند که غالباً فناوری حفاظت از بنگاه ها نیاز به مدیریت دارد. به اندازه افرادی که از آن استفاده می کنند محکم است. " وی گفت: "مردم تمایل دارند كه از VPN خود به عنوان یكی از عناصر امن تر وضعیت امنیتی خود بیاندیشد ، بنابراین این باید یك فراخوان بیدار برای صنعت باشد. کاربران باید وصله جدید را در اسرع وقت نصب کنند تا اطمینان حاصل شود که هیچ گونه بهره برداری در طبیعت وجود ندارد. "
نقاط ضعف در نسخه های لینوکس ، macOS و FreeBSD از سرویس گیرنده Aviatrix که از پرچم های باز و خاموش دستور OpenVPN استفاده می کنند ، استفاده می کنند. برای اجرای اسکریپت های پوسته هنگامی که اتصال VPN برقرار شد و قطع شد.
به دلیل مجوزهای پرونده ضعیف که در فهرست نصب در لینوکس و FreeBSD تنظیم شده است ، یک مهاجم می تواند به صورت تئوری این اسکریپت ها را تغییر دهد تا به عنوان سرویس باطن دستور OpenVPN را اجرا کند این اسکریپت با امتیازات بالا اجرا می شود ، و به آنها امکان دسترسی به پرونده ها ، پوشه ها و خدمات شبکه را می دهد.
سیمور گفت: آویاتریکس افشای اطلاعات را جدی گرفته و در طول فرآیند اصلاح با آزمایشگاه های Immersive همکاری نزدیک داشته است. وصله ای در 4 نوامبر 2019 منتشر شد.
علاوه بر پچ کردن محصول Aviatrix ، تعدادی از مراحل وجود دارد که تیم های امنیتی بتوانند امنیت VPN خود را بکار گیرند ، که به همان اندازه برای کسانی که کاربر Aviatrix نیستند اعمال می شود.
راهنمایی ، تهیه شده توسط NCSC ، به ویژه در مورد سازمانهایی که قبلاً توسط بازیگران تهدید مداوم پیشرفته (APT) مورد هدف قرار گرفته اند ، یا سوء استفاده موفقیت آمیز از VPN های خود را شناسایی کرده اند ، اعمال می شود.
سازمان ها باید تنظیمات VPN و گزینه های پیکربندی خود را بررسی کنند. تغییرات غیرمجاز ، از جمله پرونده کلیدهای مجاز SSH ، قوانین جدید و دستورالعملهای قابل اجرا برای اتصال مشتریها ، از پشتیبان گیری از تنظیمات اصلی در صورت امکان بازیابی می شوند.
سپس آنها باید VPN و سیاهههای مربوط به ترافیک شبکه را بازبینی و نظارت کنند. و همچنین بررسی سرویس هایی که کاربران از طریق VPN به آن متصل می شوند ، به ویژه برای ارتباطات از آدرس های IP غیر معمولی – به ویژه آنهایی که ورود به سیستم موفقیت آمیز دارند یا شکار می شوند – شکار می شوند. طول داده های بازگشت داده شد ، و شناسایی تلاش های پخش مجدد با استفاده از اعتبارنامه های قدیمی و قدیمی.
سایر اقدامات محتاطانه شامل پاک کردن دستگاه انتهایی طبق دستورالعمل سازنده ، امکان احراز هویت دو عاملی برای کاربران VPN در مقابل رمز عبور است. حملات مجدد ، و غیرفعال کردن عملکردها و پورت های غیرضروری یا بلا استفاده در VPN ، سطح تهدید را کاهش می دهد.
