بر اساس یک گزارش توسط شرکت نرمافزاری AlertLogic که اخیرا ارائه شد، کسبوکارهای با اندازه کوچک تا متوسط[۲] (SMBها) بیشتر از همیشه هدف مجرمان سایبری قرار میگیرند. با این حال، راهکاری ساده برای محافظت از SMBها وجود دارد: این راه مستلزم محافظت از پورتهایی است که اغلب توسط مهاجمان سایبری هدف قرار گرفته میشوند. اما، توزیع استفاده از پورتها در حملات سایبری به SMBها چگونه است؟ گزارش AlertLogic بیانگر این است که ۳ پورت پرکاربرد در میان پورتهای TCP عامل ۶۵% آسیبپذیریها در پورتهای SMBها هستند.
اهمیت اسکن پورتها
گزارش AlertLogic حاکی از آن است که SMBها معمولا از پیکربندیهای اشتباه رنج میبرند و به دست آوردن دید درباره آسیبپذیریهایی که به واسطه این پیکربندیهای اشتباه ایجاد میشود، الزامی است. با توجه به این موضوع، اسکن پورتها به طور منظم، همانگونه که توسط مهاجمین و مدافعین انجام میشود، برای امنیت شرکت حیاتی است.
به گفته پژوهشگران AlertLogic، تیمهای امنیت داخلی و Blue teamها میتوانند برای کمک به شناسایی نقاط ضعف، پیکربندیهای اشتباه فایروال و کشف سرویسهای غیرعادی اجرا شونده بر روی سیستمها، از اسکن منظم پورتها استفاده کنند.
در این راستا، شناسایی پورتهای دربردارنده بیشترین نقاط ضعف امری ضروری است. این عامل همچنین بیانگر میزان محبوبیت پورتها مابین مهاجمان و همچنین امنیت نسبی آنها میباشد.
کدام پورتهای TCP بیشتر مورد حمله قرار میگیرند؟
در بررسی صورت گرفته، پورتهای SSH (22/TCP)، HTTPS (443/TCP) و HTTP (80/TCP) به عنوان آسیبپذیرترین پورتها شناسایی شدهاند که ۶۵% از تمام آسیبپذیریها به واسطه آنها بوده است. چنین نتیجهای با توجه به در معرض اینترنت بودن این پورتها، عجیب نیست. لازم به ذکر است که یک حملهی اخیرا کشف شده با نام MS RDP BlueKeep (CVE-2019-0708) چهارمین پورت پرکاربرد یعنی پورت RDP-TCP را هدف قرار میدهد.
آسیبپذیری BlueKeep که در راهنمای امنیتی CVE-2019-0708 ردیابی شده بود، اخیرا علیه بیمارستانها و موسسات پزشکی مورد بهرهبرداری قرار گرفته است. این آسیبپذیری یک نقطه ضعف خطرناک در آخرین نسخههای سیستم عامل ویندوز است. بهره برداری موفق از این آسیبپذیری به هکرها اجازه میدهد تا قادر به انجام حملات اجرای کد از راه دور[۳] باشند.
این حملات با بررسی قابل دسترس بودن پورت پروتکل RDP (3389) از طریق اینترنت و همچنین فعال بودن سرویس دسترسی از راه دور صورت میگیرند. زمانی که این دو شرط برقرار باشند و سیستم در برابر این نقطه ضعف حفاظت نشده باشد، به راحتی ممکن است قربانی این تهدید شود. مورد خطرناک درباره این آسیبپذیری این است که میتواند به آسانی در طول شبکه، از کامپیوتری به کامپیوتر دیگر پخش شود.
با توجه به این توضیحات، یک SMB برای مصون ماندن باید چه راهکاری را در پیش گیرد؟
” Patchو مقاومسازی همه دستگاهها، نرمافزارها یا سرویسهای متصل شده به پورت، تا زمانی که هیچ جای ضربهای در لایه حفاظتی داراییهای شبکه شده وجود نداشته باشد” توصیه پژوهشگران در این باره است. علاوهبراین، احتیاط لازم را باید در نظر داشت زیرا به مرور آسیبپذیریهای جدیدی در نرمافزارها (چه جدید و چه قدیمی) کشف میشود که مهاجمان میتوانند از طریق پورتهای شبکه به آنها دسترسی یابند. در آخر، تمام تنظیمات و گذرواژههای پیشفرض را تغییر دهید و از انجام منظم بررسیهای پیکربندی اطمینان حاصل کنید.
[۲] Small to mid-sized businesses
[۳] Remote code execution attacks