پلیس فتای کشور با انتشار دو سند مرکز ماهر به صورت عمومی، جزییات بیشتری از هک های اخیر منتشر کرد.
این دو سند با عناوین «راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke» و «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است.
در راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke آمده است: بررسی های صورت گرفته درخصوص وقایع هک اخیر در شماری از پورتال های کشور نشان از سوءاستفاده از یک ضعف امنیتی بر CMS متن باز DotNetNuke دارد. این CMS در نسخه های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال های 2015 و 2016 مورد حمله واقع شده است.
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده CMS به بسیاری از پورتال ها در کشور است، دارای آخرین بروزرسانی ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت پوشش داده شده و آسیب پذیری وجود ندارد. به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی مذکور روی آن پوشش داده شده است.سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی درباره این ضعف را گزارش داده و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است.
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ گونه تدبیری درباره دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است. به همین دلیل نفوذگران با دسترسی Remote می توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. همچنین تمامی نسخه های پیش از نسخه 07.04.00 هم دارای این مشکل هستند.
توضیحات irandnn.ir
پویا پلاشانی، مدیرعامل شرکت راهبران فناوری پاسارگاد (سایت irandnn.ir) که در گزارش مرکز ماهر از سایت وی نام برده شده است، گفت: ما مشتریان زیادی مانند سازمان حج و زیارت، شرکت مخابرات، بانک کشاورزی و شهرداری تهران داریم و به آنها نیز حملات زیادی شده بود و می شود و باید دید چرا هکرها در حمله به آنها موفق نبوده اند.
وی افزود: چون اتفاق پرسروصدا و مهمی تاکنون رخ نداده بود، متاسفانه برخی از سایت ها به تذکرات و هشدارها بی توجهی می کرده و در جلوگیری از برخی آسیب پذیری ها غفلت می کردند.
پلاشانی در پاسخ به این سوال که چرا براساس گزارش مرکز ماهر، نخستین اخطار درباره این آسیب پذیری خیلی دیر (14 خرداد) به سازمان ها اعلام شد، گفت: این باگ از سال گذشته مشخص شده و هشدارهای لازم داده شده بود. اما پس از اینکه این مشکلات پیش آمد، مجددا در 14 خرداد اخطار جدیدی برای سازمان ها فرستاده شد.
وی درباره میزان نفوذی که می توان از این آسیب پذیری انجام داد، گفت: کار خاصی نمی توان کرد و در هک های اخیر هم شاهد بودیم که تنها موضوع دیفیس (تغییر ظاهر) سایت ها پیش آمد.
مدیرعامل شرکت راهبران فناوری پاسارگاد گفت: دات نت نیوک یک نرم افزار شناخته شده است که حتی سازمان ملل، bank of America و ارتش آمریکا هم از آن استفاده می کنند.
بر اساس این گزارش همچنین سند دوم با عنوان «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است. در توضیح این راهنما آمده است: هرچند توصیه های کلی توسط مراجع مختلف به سازمان ها ابلاغ شده است، اما راهنمایی که جزییات دقیق تری را از نظر فنی مشخص کند، می تواند کمک بسیاری جهت ارتقای امنیت سازمان ها داشته باشد.
در این راهنما پویش دوره ای و ارزیابی امنیتی محدوده آدرس IP، پورتال و سایر سرویس های الکترونیکی سازمان، مشخص کردن تیم فنی و حقوقی برای مدیریت و پاسخ به حوادث امنیتی و داشتن یک برنامه SIEM برای جمع آوری لاگ ها، تحلیل ها، همبستگی آنلاین و پاسخ خودکار از مدیران فناوری اطلاعات سازمان ها خواسته شده است.
راه اندازی و پیکربندی فایروال و فایروال وب (WAF)، مدیریت پیکربندی و تغییر شبکه، مدیریت سرور، مدیریت پشتیبان ها، مدیریت دسترسی از راه دور، مدیریت آسیب پذیری در سیستم های شبکه، ممانعت از پاک شدن اطلاعات کاربران، اطمینان از امنیت اطلاعات در اینترنت، مانیتور کردن ترافیک شبکه در سیستم های شبکه، مانیتورینگ شبکه های بی سیم و آموزش کاربران، نکات مربوط به حساب های کاربری و ردگیری دستگاه ها و کاربران از دیگر توصیه های مرکز ماهر به دستگاه هاست.
اما نکته جالب این است که این نکات در حد توصیه و راهنما باقی مانده و هیچ الزامی برای سازمان ها درخصوص رعایت این ضوابط در نظر گرفته نشده است.