ایتنا - دادههای عمومی جدید نشان میدهد که هکرها شروع به بهرهبرداری انبوه از آسیبپذیری سومی کردهاند که بر ابزار پرکاربرد VPN شرکت ایوانتی تأثیر میگذارد.
هفته گذشته، ایوانتی اعلام کرد که دو نقص امنیتی جدیدی را کشف کرده است – که با نامهای CVE-2024-21888 و CVE-2024- 21893 ردیابی میشوند. این نقصها بر سیستم VPN که توسط هزاران شرکت و سازمانهای بزرگ در سراسر جهان استفاده میشود، تأثیر میگذارد. ایوانتی بیش از چهل هزار مشتری از جمله دانشگاهها، سازمانهای مراقبتهای بهداشتی و بانکها را دارد که این فناوری کارمندان آنها را قادر میسازد، تا خارج از دفاتر خود وارد حساب کاربری شوند.
این افشاگری، اندکی پس از آن صورت گرفت که ایوانتی دو باگ قبلی را در Connect Secure تایید کرد که با نامهای CVE-2023-46805 و CVE-2024-21887 ردیابی میشدند. در طی این دو باگ، هکرهای مورد حمایت چین از ماه دسامبر برای نفوذ به شبکههای مشتریان و سرقت اطلاعات از آنها سوء استفاده کردهاند.
اگرچه ایوانتی، از آن زمان، این آسیبپذیریها را اصلاح کرده است، اما محققان امنیتی انتظار دارند که با بهرهبرداری بیشتر گروههای هکر از این نقص، تأثیر بیشتری بر سازمانها وارد شود. استیون آدایر، موسس شرکت امنیت سایبری Volexity، یک شرکت امنیتی که سوء استفاده از آسیبپذیریهای ایوانتی را ردیابی میکند، هشدار داد، که اکنون که سوءاستفاده عمومی شده است، هر دستگاه اصلاحنشده قابل دسترسی از طریق اینترنت، احتمالا چندین بار در معرض خطر قرار گرفته است.
پیوتر کیژوسکی، مدیر اجرایی تاسیسات Shadowserver که یک سازمانی غیرانتفاعی است که اینترنت را برای بهره برداری اسکن و نظارت میکند، گفت که این سازمان بیش از ۶۳۰ آیپی منحصر بهفرد را مشاهده کرده است که تلاش می کنند از نقص سمت سرور سوء استفاده کنند.
وی افزود که Shadowserver در حال حاضر حدود ۲۰۸۰۰ دستگاه متصل به سرویس ایوانتی را مشاهده میکند که در معرض اینترنت قرار دارند که در مقایسه با ۲۲۵۰۰ دستگاه در هفته گذشته کاهش داشته است. اگرچه او اشاره کرد که مشخص نیست چه تعداد از این دستگاه های ایوانتی در معرض خطر قرار دارند.
مشخص نیست چه کسی پشت این سواستفاده گسترده است، اما محققان امنیتی بهره برداری از دو باگ اول Connect Secure را به یک گروه هکری تحت حمایت دولت چین نسبت دادند که احتمالاً انگیزه آنها جاسوسی است.
ایوانتی قبلاً گفته بود که از سوء استفاده هدفمند از باگ سرور بر روی تعداد محدودی از مشتریان آگاه است. علیرغم درخواستهای مکرر، ایوانتی در مورد گزارشهایی مبنی بر اینکه این نقص در حال بهرهبرداری انبوه است، اظهار نظر نمیکند.
گزارشهایی مبنی بر سواستفاده گسترده از یکی دیگر از نقصهای ایوانتی، چند روز پس از آن منتشر میشود که آژانس امنیت سایبری ایالات متحده به آژانسهای فدرال دستور داد تا فوراً تمام دستگاههای VPN ایوانتی را قطع کنند. اخطار آژانس باعث شد که آژانس امنیت سایبری به سایر آژانسها فقط دو روز مهلت دهد تا اتصال دستگاهها را قطع کنند و دلیل آن را تهدید جدی ناشی از آسیبپذیریهای تحت حمله فعال میداند.