۳پورت TCP پرکاربرد که در اغلب حملات به SMBها مورد استفاده قرار می‌گیرد

بر اساس یک گزارش توسط شرکت نرم‌افزاری AlertLogic که اخیرا ارائه شد، کسب‌و‌کارهای با اندازه کوچک تا متوسط^[۲] (SMBها) بیشتر از همیشه هدف مجرمان سایبری قرار می‌گیرند. با این حال، راهکاری ساده برای محافظت از SMBها وجود دارد: این راه مستلزم محافظت از پورت‌هایی است که اغلب توسط مهاجمان سایبری هدف قرار گرفته می‌شوند. اما، توزیع استفاده از پورت‌ها در حملات سایبری به SMBها چگونه است؟ گزارش AlertLogic بیانگر این است که ۳ پورت پر‌کاربرد در میان پورت‌های TCP عامل ۶۵% آسیب‌پذیری‌ها در پورت‌های SMBها هستند.

اهمیت اسکن پورت‌ها

گزارش AlertLogic حاکی از آن است که SMBها معمولا از پیکربندی‌های اشتباه رنج می‌برند و به دست آوردن دید درباره آسیب‌پذیری‌هایی که به واسطه این پیکربندی‌های اشتباه ایجاد می‌شود، الزامی است. با توجه به این موضوع، اسکن پورت‌ها به طور منظم، همان‌گونه که توسط مهاجمین و مدافعین انجام می‌شود، برای امنیت شرکت حیاتی است.

به گفته پژوهشگران AlertLogic، تیم‌های امنیت داخلی و Blue teamها می‌توانند برای کمک به شناسایی نقاط ضعف، پیکربندی‌های اشتباه فایروال و کشف سرویس‌های غیرعادی اجرا شونده بر روی سیستم‌ها، از اسکن منظم پورت‌ها استفاده کنند.

در این راستا، شناسایی پورت‌های دربردارنده بیشترین نقاط ضعف امری ضروری است. این عامل همچنین بیانگر میزان محبوبیت پورت‌ها مابین مهاجمان و همچنین امنیت نسبی آن‌ها می‌باشد.

کدام پورت‌های TCP بیشتر مورد حمله قرار می‌گیرند؟

در بررسی صورت گرفته، پورت‌های SSH (22/TCP)، HTTPS (443/TCP)  و HTTP (80/TCP) به عنوان آسیب‌پذیرترین پورت‌ها شناسایی شده‌اند که ۶۵% از تمام آسیب‌پذیری‌ها به واسطه آن‌ها بوده است. چنین نتیجه‌ای با توجه به در معرض اینترنت بودن این پورت‌ها، عجیب نیست. لازم به ذکر است که یک حمله‌ی اخیرا کشف شده با نام MS RDP BlueKeep (CVE-2019-0708)  چهارمین پورت‌ پرکاربرد یعنی پورت RDP-TCP را هدف قرار می‌دهد.

آسیب‌پذیری BlueKeep که در راهنمای امنیتی CVE-2019-0708 ردیابی شده بود، اخیرا علیه بیمارستان‌ها و موسسات پزشکی مورد بهره‌برداری قرار گرفته است. این آسیب‌پذیری یک نقطه ضعف خطرناک در آخرین نسخه‌های سیستم عامل ویندوز است. بهره ‌برداری موفق از این آسیب‌پذیری به هکرها اجازه می‌دهد تا قادر به انجام حملات اجرای کد از راه دور^[۳] باشند.

این حملات با بررسی قابل دسترس بودن پورت پروتکل RDP (3389) از طریق اینترنت و همچنین فعال بودن سرویس دسترسی از راه دور صورت می‌گیرند. زمانی که این دو شرط برقرار باشند و سیستم در برابر این نقطه ضعف حفاظت نشده باشد، به راحتی ممکن است قربانی این تهدید شود. مورد خطرناک درباره این آسیب‌پذیری این است که می‌تواند به آسانی در طول شبکه، از کامپیوتری به کامپیوتر دیگر پخش شود.

با توجه به این توضیحات، یک SMB برای مصون ماندن باید چه راهکاری را در پیش گیرد؟

 ” Patchو مقاوم‌سازی همه دستگاه‌ها، نرم‌افزارها یا سرویس‌های متصل شده به پورت، تا زمانی که هیچ جای ضربه‌ای در لایه حفاظتی دارایی‌های شبکه شده وجود نداشته باشد” توصیه پژوهشگران در این باره است. علاوه‌براین، احتیاط لازم را باید در نظر داشت زیرا به مرور آسیب‌پذیری‌های جدیدی در نرم‌افزارها (چه جدید و چه قدیمی) کشف می‌شود که مهاجمان می‌توانند از طریق پورت‌های شبکه به آن‌ها دسترسی یابند. در آخر، تمام تنظیمات و گذرواژه‌های پیش‌فرض را تغییر دهید و از انجام منظم بررسی‌های پیکربندی اطمینان حاصل کنید.

[۱] منبع

[۲] Small to mid-sized businesses

[۳] Remote code execution attacks