عثر الباحثون على العديد من العيوب الأمنية في VPNs للشركات الشهيرة التي يقولون أنه يمكن استخدامها لاقتحام شبكات الشركة بصمت وسرقة أسرار الأعمال. قبل ذلك من السهل استغلال العيوب الموجودة في مزودي VPN الثلاثة للشركات - شبكات Palo Alto Pulse Secure و Fortinet - عن بُعد.
T تطبيقات VPN المستهلك التقليدية المصممة لإخفاء مكانك وإخفاء هويتك ولكنك تستخدم من قبل الموظفين الذين يعملون عن بُعد للوصول إلى الموارد على شبكة الشركة. عادة ما يجب على الموظفين إدخال اسم المستخدم وكلمة المرور الخاصة بهم وغالبًا ما يكون رمز ثنائي العوامل. من خلال الاتصال عبر اتصال HTTPS (SSL) يقوم هؤلاء مقدمي الخدمات بإنشاء نفق آمن بين كمبيوتر المستخدم وشبكة الشركات. نحتاج إلى اسم مستخدم أو كلمة مرور عاملة.
SSL VPN هي الطريقة الأكثر ملاءمة للاتصال بشبكات الشركات. من ناحية أخرى بالنسبة للمتسللين يجب أن تتعرض SSL VPN للإنترنت لذلك فهو أيضًا أقصر مسار لتقديم وسط إنترانت.
عدد قليل وقال إنه بالنسبة لهؤلاء البائعين فإن التأثير ضخم. الخادم - يكفي لتعطل الخدمة تمامًا. وقالوا إن العديد من الشركات الكبرى تستخدم VPN العالمية لـ Palo Alto-بما في ذلك Uber. قام Uber بإصلاح الخطأ بسرعة لكنه قال إن البنية التحتية الداخلية كانت آمنة. وقال تساي في الأنظمة التي تنتمي إلى تويتر. لقد حصلنا على امتياز الجذر على خادم VPN الأكثر أهمية على Twitter بنجاح وحصلنا على أعلى شدة وأعلى مكافأة من برنامج Bounty الخاص بهم. تم بالفعل العثور على الأخطاء داخليًا ولم تصدر استشارية أمنية عامة مقابلة. بعد كتابة تساي وتشانغ كان البعض ينتقد استجابة بالو ألتو. قال باحث الأمن كيفن بومونت في تغريدة أنه بدا أن عملاق الأمن أصدر حلًا صامتًا لهذا الخطأ الخطيرة حقًا دون تنبيه أي شخص. كان حوالي ثلث الصناديق المتصلة بالإنترنت التي اختبرها عرضة للخطر اعتبارًا من الأسبوع الماضي وقد تويت.
أصدر بالو ألتو في النهاية استشاريًا بعد يوم من نشر تساي وتشانغ نشر مدونتهما للتفصيل الأخطاء. < Br>
أصدر Fortinet أيضًا استشارات عن الأخطاء الخاصة بها وقاموا بتحديث البرامج الثابتة الجديدة لإصلاح نقاط الضعف. يُنصح مسؤولي النظام بتحديث بواباتهم الضعيفة إلى أحدث الإصدارات.
قال كبير مسؤولي التسويق في Pulse Secure سكوت جوردون إن الشركة أبلغت عملائها بالضعف وتصحيح متاح في أواخر أبريل. قال جوردون إن الشركة ليست على علم بأي استغلال.
اعترف بالو ألتو بأنها أصلحت الأخطاء لكنها لم تعالج النقد من مجتمع الأمن. للنشر.
إنها أحدث جولة من الأخطاء المتعلقة بـ VPN هذا العام. في أبريل حذرت الأمن الداخلي المؤسسات من مجموعة من نقاط الضعف في العديد من مزودي VPN الشركات الرئيسية - مما يؤثر أيضًا على Palo Alto و Pulse Secure وكذلك Cisco و F5 Netwo
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
