تقوم وكالة الأمن القومي باستغلال ثغرة جدار الحماية PIX من Cisco لأكثر من عقد من الزمان

بدت حماية جدران حماية Cisco PIX لسنوات موثوقة مثل جدار من الطوب. ولكن لا

، نشرت مجموعة خبراء أمن المعلومات مذكرة تفيد بأن الثغرة الأمنية في خط PIX من الجدران الناريةسمح تصنيعها من قبل سيسكو وكالة الأمن القومي باستلام مفاتيح مشفرة عن بعد في مسح لمدة عشر سنوات. إن نتائج العمل الذي قام به الباحثون ذات أهمية كبيرة ، حيث تم دعم أنظمة PIX التي قدمتها شركة Cisco في عام 2002 حتى عام 2009. استخدم عدد كبير من المؤسسات هذه الأنظمة حتى بعد هذا التاريخ ، لأن الشركة قررت تقديم دعم محدود لمجموعة جدار الحماية PIX لمدة أربع سنوات ، حتى عام 2013. تعمل العديد من الشركات والمؤسسات والأفراد مع جدران الحماية PIX اليوم.

كما اتضح ، كل هذه السنوات ، كان مستخدمو أنظمة PIX عرضة للهجوم من قبل المجرمين الإلكترونيين والجواسيس الإلكترونيين. الخطر لا يزال ذا صلة في الوقت الحاضر. ساعدت نتائج التحقيق التي أجراها خبراء أمن المعلومات في تفسير منشور إدوارد سنودن في دير شبيجل . قال هذا المنشور إن موظفي وكالة الأمن القومي تمكنوا من فك تشفير حركة مرور الآلاف من اتصالات VPN في الساعة.

قال مصطفى البسام ، أحد فريق التحقيق من الخبراء: "هذا يعني أن وكالة الأمن القومي استطاعت استرداد المفاتيح الخاصة من Cisco VPN منذ عشر سنوات". "والآن أصبح من الواضح كيف يمكنهم فك تشفير حركة مرور الآلاف من اتصالات VPN ، كما جاء في منشور Der Spiegel ".

باستخدام خدمة بحث Shodan ، يمكنك التأكد من أنه حتى الآن ، تعمل أكثر من 15000 شبكة من مختلف الأحجام حول العالم مع PIX. تشمل الدول التي أنشأت وكالة الأمن القومي مراقبة مشددة لها بشكل خاص روسيا والولايات المتحدة وأستراليا. أما بالنسبة لأنظمة PIX ، فإن الإصدارات من 5.3 (9) إلى 6.3 (4) ضعيفة. بالإضافة إلى ذلك ، تمكن المتخصصون من استغلال ثغرة مماثلة في الإصدار 6.3 (5).

وقالت شركة Cisco بدورها إن إصدارات PIX 6.x وما دونها معرضة للخطر. Safe هي إصدارات 7.0 وأعلى.

تمكن خبراء BenignCertain من استغلال الثغرة الأمنية في Internet Key Exchange، إصدارات من سيسكو. هذا بروتوكول يستخدم فيه الشهادات الرقمية لإنشاء اتصال آمن بين طرفين. أثناء هجوم على جهاز PIX ضعيف ، يتم إرسال حزم البيانات المشكلة بشكل خاص. يقوم المحلل اللغوي ، الذي يعد جزءًا من الاستغلال ، باستخراج المفتاح من حركة مرور VPN ، إذا لزم الأمر ، يمكن للمهاجم الحصول على بيانات أخرى. سمحت الأداة التي تستخدمها وكالة الأمن القومي لأي مستخدم متصل بالشبكة العالمية باستغلال الثغرة الأمنية في PIX. لا يلزم عمل تحضيري خاص لاستغلال الضعف. نشر خبراء أمن المعلومات لقطة شاشة لسير الهجوم:



ومن المثير للاهتمام أن جهاز الأمن التكيفي ، الذي حل محل PIX ، يحتوي على ثغرة مماثلة في Internet Key Exchange ، والتي قامت Cisco بإصلاحها قبل ثلاثة أشهر فقط. علاوة على ذلك ، طوال الوقت الذي كانت فيه الثغرة نشطة ، ظلت جدران الحماية لأكثر من اثني عشر مزودًا آخر عرضة للخطر أيضًا. قد تكون المشكلة ذات صلة ليس فقط بـ PIX ، ولكن أيضًا للمنتجات من الشركات المصنعة الأخرى.

يصبح استغلال استخراج المفتاح الخاص أداة أكثر قوة للمهاجمين عند دمجه مع أدوات مجموعة المعادلات. على سبيل المثال ، تتيح لك أداة FalseMorel التحكم في نظام PIX ​​بحقوق المسؤول. تتيح أداة BenignCertain للمهاجمين معرفة ما إذا كان أي جدار حماية عرضة لـ FalseMorel.

قبل بضعة أيام ، تمكن ShadowBrokers من الحصول على عدد من أدوات وكالة الأمن القومي التي تم استخدامها من قبل موظفي مجموعة المعادلات (Five Eyes / Tilded Team) لإجراء التجسس. يهدف عدد من برمجيات إكسبلويت إلى تجاوز جدران الحماية الخاصة بـ Cisco PIX & ASA و Juniper Netscreen و Fortigate وغيرها من األجهزة.وقالت



عدة مجموعات من خبراء األمن السيبراني أن التسرب مرتبط حقًا بمجموعة المعادلات وأن جميع البرامج التي حصلت عليها برامج NSA الخوادم كانت أصلية. تضمنت المستندات التي سبق أن قدمها Eward Snowden تعليمات لمشغلي وكالة الأمن القومي. ذكرت التعليمات أنه لتتبع إحدى أدوات الهجوم السيبراني ، يجب على المشغل استخدام سلسلة البيانات المكونة من 16 حرفًا "ace02468bdf13579". وهذا الخط موجودفي تسرب من ShadowBrokers ، في برنامج يسمى SECONDDATE. تم إعطاء هذا الاسم بالضبط في وثائق سنودن.

SECONDDATE دور مهم في نظام التجسس السيبراني العالمي الذي بنته الوكالات الأمريكية. مع هذا النظام ، أصيب ملايين أجهزة الكمبيوتر في جميع أنحاء العالم.

Source: https://habr.com/ru/post/ar397021/