ايتنا - سوءاستفاده هکر‌ها از نقص جدید VPN شرکت ایوانتی

هفته گذشته، ایوانتی اعلام کرد که دو نقص امنیتی جدیدی را کشف کرده است – که با نام‌های CVE-2024-21888 و CVE-2024- 21893 ردیابی می‌شوند. این نقص‌ها بر سیستم VPN که توسط هزاران شرکت و سازمان‌های بزرگ در سراسر جهان استفاده می‌شود، تأثیر می‌گذارد. ایوانتی بیش از چهل‌ هزار مشتری از جمله دانشگاه‌ها، سازمان‌های مراقبت‌های بهداشتی و بانک‌ها را دارد که این فناوری کارمندان آن‌ها را قادر می‌سازد، تا خارج از دفاتر خود وارد حساب کاربری شوند.

این افشاگری، اندکی پس از آن صورت گرفت که ایوانتی دو باگ قبلی را در Connect Secure تایید کرد که با نام‌های CVE-2023-46805 و CVE-2024-21887 ردیابی می‌شدند. در طی این دو باگ، هکرهای مورد حمایت چین از ماه دسامبر برای نفوذ به شبکه‌های مشتریان و سرقت اطلاعات از آن‌ها سوء استفاده کرده‌اند.

اگرچه ایوانتی، از آن زمان، این آسیب‌پذیری‌ها را اصلاح کرده است، اما محققان امنیتی انتظار دارند که با بهره‌برداری بیشتر گروه‌های هکر از این نقص، تأثیر بیشتری بر سازمان‌ها وارد شود. استیون آدایر، موسس شرکت امنیت سایبری Volexity، یک شرکت امنیتی که سوء استفاده از آسیب‌پذیری‌های ایوانتی را ردیابی می‌کند، هشدار داد، که اکنون که سوءاستفاده عمومی شده است، هر دستگاه اصلاح‌نشده قابل دسترسی از طریق اینترنت، احتمالا چندین بار در معرض خطر قرار گرفته است.

پیوتر کیژوسکی، مدیر اجرایی تاسیسات Shadowserver که یک سازمانی غیرانتفاعی است که اینترنت را برای بهره برداری اسکن و نظارت می‌کند، گفت که این سازمان بیش از ۶۳۰ آی‌پی منحصر به‌فرد را مشاهده کرده است که تلاش می کنند از نقص سمت سرور سوء استفاده کنند.

وی افزود که Shadowserver در حال حاضر حدود ۲۰۸۰۰ دستگاه متصل به سرویس ایوانتی را مشاهده می‌کند که در معرض اینترنت قرار دارند که در مقایسه با ۲۲۵۰۰ دستگاه در هفته گذشته کاهش داشته است. اگرچه او اشاره کرد که مشخص نیست چه تعداد از این دستگاه های ایوانتی در معرض خطر قرار دارند.

مشخص نیست چه کسی پشت این سواستفاده گسترده است، اما محققان امنیتی بهره برداری از دو باگ اول Connect Secure را به یک گروه هکری تحت حمایت دولت چین نسبت دادند که احتمالاً انگیزه آنها جاسوسی است.
ایوانتی قبلاً گفته بود که از سوء استفاده هدفمند از باگ سرور بر روی تعداد محدودی از مشتریان آگاه است. علی‌رغم درخواست‌های مکرر، ایوانتی در مورد گزارش‌هایی مبنی بر اینکه این نقص در حال بهره‌برداری انبوه است، اظهار نظر نمی‌کند.

گزارش‌هایی مبنی بر سواستفاده گسترده از یکی دیگر از نقص‌های ایوانتی، چند روز پس از آن منتشر می‌شود که آژانس امنیت سایبری ایالات متحده به آژانس‌های فدرال دستور داد تا فوراً تمام دستگاه‌های VPN ایوانتی را قطع کنند. اخطار آژانس باعث شد که آژانس امنیت سایبری به سایر آژانس‌ها فقط دو روز مهلت دهد تا اتصال دستگاه‌ها را قطع کنند و دلیل آن را تهدید جدی ناشی از آسیب‌پذیری‌های تحت حمله فعال می‌داند.