من المعروف أن الـ VPN ــ “Virtual Private Networks”، يتم استخدامها بكثرة من قبل العديد من الشركات والمؤسسات، وذلك من أجل حماية عملية وصول الموظفين للموارد التي يحتاجونها في العمل.
في الآونة الأخيرة تبين أنه يتم اساءة استخدام الـ VPN، حيث قام عدة باحثين أمنيين من شركة Volexity باكتشاف حملة هجومية كبيرة استهدفت منتجات الـ VPN التي تنتجها شركة Cisco Systems، من أجل تثبيت Backdoors على الـ VPN، ومن ثم الحصول على أسماء المستخدمين وكلمات المرور الخاصة بعملية تسجيل دخولهم على الشبكة الخاصة بالشركة التي يعملون بها.
بمجرد أن يقوم الموظف بعملية المصادقة فإن الـ Clientless SSL VPNs يسمح له بالوصول إلى موارد الشبكة الداخلية، تصفح ومشاركة الملفات الداخلية، ويتم السماح للموظف بالوصول إلى الموارد الداخلية عن طريق الـ telnet، أو الـ SSH، أو أي بروتوكول مشابه.
الـ Backdoor يحتوي على كود JavaScript ضار ، يقوم المهاجم بحقنه في صفحة تسجيل الدخول. وبمجرد حقنه، تصبح عملية كشفه صعبة إلى حد ما، حيث أن الكود الضار يكون مُستضاف من قبل موقع خارجي مخترق بواسطة المهاجم، ويتم الوصول إليه فقط من خلال اتصال HTTPS.
ووفقاً لما أكده الباحثين الأمنيين، فإن الباكدور يمكن تثبيته بطريقتين مختلفتين:ـ
1- عن طريق ثغرة موجود بالـ Clientless SSL VPN كانت شركة سيسكو قد قامت بإصلاحها منذ ما يقرب من 12 شهراً، وتعرف هذه الثغرة بـ (CVE-2014-3393).
2- الحصول على حساب المدير ومن ثم استخدامه لتحميل الكود الضار.
الأهداف المصابة
وصرحت شركة Volexity أنها لاحظت أن الأهداف التي تمت إصابتها بنجاح هي:ـ
1- مراكز استشارات طبية
2- الجامعات، والمؤسسات الأكاديمية.
3- شركات متعددة الجنسيات تعمل في مجال تصنيع الإلكترونيات
4- العديد من المؤسسات غير الحكومية.
جدير بالذكر أن المتحدث باسم سيسكو قام بإصدار بيان على غرار هذه المشكلة أكد فيه أن الشركة على علم بتقرير شركة Volexity، وأن سيسكو كانت قد أصدرت باتش لمعالجة هذه المشكلة في العام الماضي.
كما أن عملاء سيكسو يمكنهم حماية أنفسهم ضد هذه التعديدات من خلال اتباع التعليمات التي أصدرتها شركة سيسكو على موقعها الرسمي.
