تحقیقات جدید از VPNpro نشان می دهد که Monsoon Accessorize از نسخه قدیمی Pulse Connect Secure VPN استفاده می کند که دارای آسیب پذیری شناخته شده ای است و به هکرها اجازه می دهد پرونده های داخلی شرکت حساس ، داده های مشتری را سرقت یا باج دهند ، و اطلاعات بیشتر در تحقیقات جدید ما نشان می دهد که Monsoon Accessorize – شرکت پشت پرده برخی از بزرگترین مارک های پوشاک در انگلستان – از سرورهای Pulse Connect Secure VPN بدون رکورد استفاده کرده است که دارای آسیب پذیری های اساسی هستند. آسیب پذیری Pulse Connect Secure (CVE-2019-11510 ، با عنوان "مهم") ، که به آوریل 2019 باز می گردد ، می تواند به هکرها اجازه دهد هر کاربر فعال را در شرکت VPN ، و همچنین کلمات عبور ساده آنها را مشاهده کنند. سپس آنها می توانند از این اطلاعات برای دسترسی به آن سرورها برای اهداف مخرب استفاده كنند و می توانند هم به شركت و هم به مشتریان آن آسیب برساند. این تهدید جدی است: حتی وزارت امنیت داخلی آمریكا هشداری را صادر كرده است كه از مشاغل خواسته است تا VPN های خود را ارتقا دهند. حمله عید سال نو به ارائه دهنده صرافی ارز Travelex نمونه ای از کاری است که این آسیب پذیری می تواند انجام دهد. یک هکر به سرورهای VPN این شرکت دسترسی پیدا کرد که به آنها امکان می داد "باج افزارهایی را در سیستم های سازمانی تحویل دهند و پشتیبان گیری از داده ها را پاک کرده و ابزارهای امنیتی نهایی را غیرفعال کنند." با استفاده از این آسیب پذیری ، محققان ما توانستند به پرونده های داخلی Monsoon از جمله اطلاعات مشتری دسترسی پیدا کنند. اسناد تجاری حساس ، فروش و درآمد ، و موارد دیگر. در صفحه شرکت خود ، Monsoon ادعا می کند که "بیش از 620 فروشگاه در سراسر جهان" و "تجارت در 42 کشور ، در 4 قاره" داشته است. براساس داده های Statista ، Monsoon Accessorize اوج درآمد سالانه 631 میلیون پوند را در سال 2008 داشته است (در سال 2018 به 296 میلیون پوند کاهش یافته است). مقیاس عملکرد شرکت به معنای آسیب پذیری می تواند تأثیر گسترده ای داشته باشد. ما تلاش کردیم از 28 ماه مه تا 10 ژوئن با چندین بار از طریق کانال های مختلف موسمی تماس بگیریم. در زمان نوشتن این مقاله ، ما هنوز هیچ پاسخی دریافت نکردیم. آسیب پذیری باقی مانده است. متدولوژی به منظور انجام این تحقیق ، اینترنت را برای آسیب پذیری های سرور VPN اسکن کردیم. ما متوجه شدیم که سرور اختصاصی Pulse Connect Secure VPN monsoon.co.uk در برابر CVE-2019-11510 آسیب پذیر است. این آسیب پذیری به ما این امکان را می دهد که داده های جلسه را با استفاده از یک URL بطور خاص تهیه شده در پنل مشتری VPN بدون هیچ گونه تأیید اعتبار استخراج کنیم. ما اسکریپتی را اجرا کردیم که داده های جلسه را وارد کرد و سعی کردیم با شناسه جلسه داده شده به پورتال VPN دسترسی پیدا کنیم. اگر به صفحه ورود به سیستم هدایت شویم ، جلسه فعال نبود. ما برای یافتن جلسات فعال دائماً بر روی شناسه جلسه نظارت می کردیم. هنگامی که یک جلسه فعال دستگیر شد ، ما شناسه را به عنوان کوکی مرورگر وارد کردیم و به عنوان یک کاربر خاص به پنل دسترسی پیدا کردیم. ما اطلاعات را جمع آوری کردیم تا تأیید کنیم پرونده ها قابل خواندن هستند ، ما دسترسی به نوشتن داشتیم و دامنه آسیب پذیری را می دانستیم. محدودیت های این آسیب پذیری ، همانطور که فهمیدیم ، این است که برای اجرای حمله علیه همه کارکنان به مجوزهای کاربر بالا نیاز دارد. چه داده ای که ما پیدا کردیم دو نوع داده وجود دارد که ما یافتیم: داده ها قبل از تأیید آسیب پذیری ، و داده هایی که یک بار توانستیم. قبل از تأیید یک لیست از نام کارمندان ، شناسه های منحصر به فرد و رمزهای رمزگذاری شده رمزگذاری شده MD5 جزئیات مدیر رمزگذاری شده جزئیات ورود به سیستم مشاهده شده VPN ، که شامل تاریخ ورود ، زمان و دستگاه است ، همراه با نام کاربری و کلمات عبور ساده VPN جلسه ، تست کنید و تأیید کنید. داده های فعال و غیرفعال در داخل سرورهای داخلی Monsoon داده های فروش روزانه لیست دقیقه اطلاعات داده های اطلاعات کسب و کار سایر اسناد داخلی 45،000 نام مشتری ، ایمیل ، کشورها و آنچه به نظر می رسد کدهای فروشگاه هستند تقریبا 650،000 کارت پاداش و شماره های کوپن ، بسیاری هنوز تا سال 2021 فعال هستند ، با مانده های اولیه و باقی مانده. مطابق صفحه سؤالات متداول Monsoon ، مشتریان می توانند این کدهای کوپن را بصورت آنلاین بازخرید تا زمانی که کارت پاداش خود را به پرونده نمونه حساب خود متصل کرده اند که حاوی 10،000 پرونده مشتری شامل نام ، آدرس ایمیل ، شماره تلفن و آدرسهای پستی و صورتحساب است. از یک برنامه شخص ثالث برای اسکن شبکه هایی که دارای آسیب پذیری خاصی از VPN هستند ، از جمله آسیب پذیری ایمنی Pulse Connect Secure که با عنوان CVE-2019-11510 شناخته شده است ، استفاده کرد. این ما را به سمت سرور VPN monsoon.co.uk سوق داد. با فرآیند ذکر شده در متدولوژی ما ، توانستیم داده های حساس حاوی جزئیات ورود کاربران VPN و همچنین کوکی های جلسه را بدست آوریم. مثال نام کاربری ها و گذرواژه های متن ساده نمونه کوکی های جلسه VPN پس از داشتن این اطلاعات ، آزمایش خود را پیش بردیم تا تأیید کنیم که آیا داده های عملی یا ناچیز بودند. وقتی به پورتال VPN Monsoon Accessorize رفتیم ، فهمیدیم که آنها برای ورود به سیستم ، تأیید هویت دو عاملی را فعال کرده اند. در حالی که این به طور معمول یک بلوک محسوب می شود ، ما به دلیل کوکی های جلسه VPN توانستیم این مسئله را دور بزنیم. با استفاده از کوکی های جلسه علامت گذاری شده ** ACTIVE ** ، ما توانستیم سیستمی را که قبلاً وارد سیستم شده بودیم متقاعد کنیم. این اجازه می دهد تا به سرور VPN داخلی Monsoon دسترسی پیدا کنیم. وقتی چند کوکی را آزمایش کردیم ، متوجه شدیم که Monsoon مجوزهای مختلف دسترسی را برای کاربران مختلف تنظیم کرده است. کاربر 1: کاربر 2: اگرچه آنها پیش بینی بهترین عملکرد را داشتند ، اما متأسفانه آنها نتوانستند سرویس VPN Pulse Secure خود را به روز کنند. وصله آسیب پذیری را تغییر دهید. ما همچنین قادر به آپلود فایل ها در سرور داخلی بودیم ، که یک فایل متنی ساده با پیام زیر بود: سرور Pulse Secure VPN شما آسیب پذیر است (CVE-2019-11510). لطفا در اسرع وقت آن را برطرف کنید. برای کسب اطلاعات و راهنمایی بیشتر ، با تیم امنیتی ما در ************@vpnpro.com تماس بگیرید. به طور دقیق ، VPNpro برای همه جلسات دسترسی HTML5 تست شده ، ما نتوانستیم وارد سیستم شوید: در این کوکی جلسه دوم ، ما توانستیم به پرونده های داخلی شرکت دسترسی پیدا کنیم. سرورهای داخلی Monsoon شامل صدها پوشه با احتمال وجود دهها هزار پرونده: پوشه اطلاعات کسب و کار Monsoon: اطلاعات کارت ویزیت مشتری: این شامل اطلاعات مشتری ، مانند نام ، آدرس ایمیل ، آدرس حمل و نقل ، شماره کارت و موارد دیگر. در حالی که ما مطمئن بودیم که داده های حساس تری در این سرورها وجود دارد ، ما اطلاعات کافی برای تأیید دامنه آسیب پذیری داشتیم. آسیب های احتمالی چیست؟ بیشترین خطر بروز این آسیب پذیری این است که هکرها بتوانند سرورها را با ransomware ، مشابه آنچه که با Travelex اتفاق افتاده است. در آن سناریو ، هرگونه عملیات متصل یا وابسته به اطلاعات موجود در این سرورها تا زمانی که وضعیت حل شود ، متوقف می شود. این بسته به قیمتی که هکرها شارژ می دهند ، می تواند برای Monsoon بسیار گران باشد ، یا ممکن است آنها گزینه های دیگری را نیز به کار گیرند که در هر صورت روزها یا هفته ها طول بکشد. blackmarket به طور بالقوه از کارتهای پاداش مشتریان و شماره های کوپن برای خود استفاده می کند ، یا آنها را به صورت آنلاین رمزعبور به فروش بر روی سرورهای Remote Desktop Protector (RDP) و سرورهای حساس دسترسی داشته باشید که قرار است از طریق اتصال VPN محافظت شوند با بیشتر وقت و تلاش ، به مغازه های آنلاین خود حمله کنند. اسکریپت های فیشینگ جزئیات پرداخت را نصب کنید ، که به آنها امکان می دهد اطلاعات پرداخت مشتریان را بدزدند کشف شده ما چندین بار به Monsoon Accessorize از آسیب پذیری آنها اطلاع دادیم ، اما هیچ پاسخی و عملی دریافت نکردیم. با شروع از 28 مه ، ما سعی کردیم ابتدا از طریق ایمیل با Monsoon تماس بگیریم ، از جمله دو ایمیل پیگیری. سپس ، ما سعی کردیم که از اوایل 29 مه در شرکت آنها توییتر به آنها برسیم ، اما هیچ جوابی دریافت نکردیم. پس از آن ، ما سعی کردیم با استفاده از دو شماره تلفن ذکر شده در وب سایت های آنها ، با آنها تماس بگیریم ، اما فایده ای ندارد. سرانجام ، ما در تاریخ 3 ژوئن با مرکز امنیت سایبری ملی انگلیس تماس گرفتیم ، که مسئولیت امنیت سایبری را بر عهده دارد و می تواند در تماس با هکرهای اخلاقی در تماس با فروشندگان کمک کند. با این حال ، ما نیز هیچ پاسخی از آنها دریافت نکردیم. در زمان انتشار ، این آسیب پذیری همچنان باقی مانده است و ما هیچ پاسخی از طرف آنها دریافت نکردیم. توصیه ها متأسفانه ، هیچ کاری نمی توانید به عنوان مشتری Monsoon Accessorize کنید. این آسیب پذیری و رفع مشکل کاملاً بر عهده آنها است. اگر شما اطلاعات شخصی خود را – نام ، آدرس ایمیل ، شماره تلفن یا موارد دیگر – با Monsoon Accessorize به اشتراک گذاشتید ، توصیه می کنیم داده های خود را نظارت کنید تا از اطلاعات خود اطمینان حاصل کنید. t leaked. مطمئن شوید که آیا فعالیت عجیبی در رابطه با حساب های آنلاین شما وجود داشته است ، مانند ورود به سیستم از مکان های عجیب و غریب یا ایمیل های غیرمترقبه از موسسات مالی شما که ممکن است به عنوان ایمیل فیشینگ باشد یا خیر. در این صورت ، رمزهای عبور خود را فوراً تغییر داده و برای محافظت از حساب خود با بانک خود تماس بگیرید. سلب مسئولیت: ما به طور دقیق داستانهای خود را تحقیق می کنیم و تلاش می کنیم تصویری دقیق برای خوانندگان خود ارائه دهیم. ما نیز انسان هستیم و اگر شما اعتقاد دارید که ما یک خطای واقعی (بر خلاف مخالفت با نظر) مرتکب شده ایم ، لطفا با ما تماس بگیرید تا ما بتوانیم تحقیق کنیم و یا حقایق را تصحیح یا تأیید کنیم. لطفاً با استفاده از صفحه تماس با ما به ما مراجعه کنید.