علت آسیب پذیری وبسایتهای دولتی
به یاد دارید که چندی پیش، تعدادی از وبسایت های دولتی کشورمان مورد حمله ی هکرها واقع شد؛ موضوعی که کمی بعد با دستگیری هکر ایرانی تعدادی از این سایت ها ابعاد تازه ای پیدا کرد و مشخص شد پتانسل خسارت ماجرا از تغییر ظاهر این سایت ها بیشتر بوده است.
وبسایت پلیس فضای تبادل اطلاعات: به یاد دارید که چندی پیش، تعدادی از وبسایت های دولتی کشورمان مورد حمله ی هکرها واقع شد؛ موضوعی که کمی بعد با دستگیری هکر ایرانی تعدادی از این سایت ها ابعاد تازه ای پیدا کرد و مشخص شد پتانسل خسارت ماجرا از تغییر ظاهر این سایت ها بیشتر بوده است.
اکنون وبسایت پلیس فضای تبادل اطلاعات (فتا)، در ارتباط با حملات هکی اخیر، اقدام به انتشار دو گزارش از سوی مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای (ماهر) کرده است که در آنها علت آسیب پذیری این سایت ها در برابر حملات هکر ها، آسیبپذیری Installatian در پورتال DotNetNuke عنوان شده و راهکار برطرف کردن آن نیز آمده است.
در گزارش اول مرکز ماهر ذکر شده: «بررسی های صورت گرفته در خصوص وقايع هك اخير بر روی شماری از پورتال های كشور نشان از سوء استفاده از يك ضعف امنيتی بر روی CMS متن باز DotNetNuke دارد. اين CMS در نسخه های قبل از ۳.۰.۸ دارای يك نقص امنيتی جدی است كه در چند مرحله در سال های ۲۰۱۵ و ۲۰۱۶ مورد حمله واقع شده است. نسخه ی فعلی ۳.۰.۸ بر روی وبسايت شركت irandnn.ir، كه ارائه دهنده ی اين CMS به بسياری از پورتال ها در كشور می باشد، دارای آخرين به روز رسانی ها بوده و ضعف امنيتی معروف به Installation بر روی نسخه ی فعلی ارائه شده بر روی اين سايت، پوشش داده شده و آسيب پذيری وجود ندارد».
در ادامه ی این گزارش نیز آمده است: «به عبارت بهتر اين نسخه ۳.۰.۸ همان نسخه ی به روز رسانی شده ی ۰۷.۰۴.۰۱ مربوط به وبسايت اصلی سيستم مديريت محتوای DNN می باشد كه ضعف امنيت فوق بر روی آن پوشش داده شده است. در نسخه ی ۰۷.۰۴.۰۰ از CMS DNN متأسفانه هيچ گونه تدبيری در مورد دسترسی افراد غيرمجاز به سيستم نصب آن انديشيده نشده است. به همين دليل، نفوذگران با دسترسی Remote می توانند مجدداً سيستم CMS DNN را reinstall كرده و به سطح دسترسی Super User بر روی اين سيستم مديريت محتوا برسند. تمامی نسخه های قبل از نسخه ی ۰۷.۰۴.۰۰ هم دارای اين مشكل هستند».
گزارش مذکور در ادامه خاطرنشان کرده است که «وبسايت irandnn.ir در تاريخ ۱۴ خرداد ۹۵ اخطار امنيتی در مورد اين ضعف را گزارش داده و نحوه ی از بين بردن اين ضعف را به صورت دستی توضيح داده است. همچنين نسخه ی DNN فارسی خود را نیز به ۳.۰.۸ ارتقاء داده است كه كاربران می توانند از منوی به روز رسانی در صفحه ی مديريت سايت های خود، به صورت اتوماتيك نسخه ی DNN مورد استفاده بر روی سايت خود را به روز رسانی كنند».
گزارش دوم مرکز ماهر نیز راهنمایی فنی است که برای ارتقای امنیت فناوری اطلاعات در سازمان ها ارائه شده است.
اکنون وبسایت پلیس فضای تبادل اطلاعات (فتا)، در ارتباط با حملات هکی اخیر، اقدام به انتشار دو گزارش از سوی مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای (ماهر) کرده است که در آنها علت آسیب پذیری این سایت ها در برابر حملات هکر ها، آسیبپذیری Installatian در پورتال DotNetNuke عنوان شده و راهکار برطرف کردن آن نیز آمده است.
در گزارش اول مرکز ماهر ذکر شده: «بررسی های صورت گرفته در خصوص وقايع هك اخير بر روی شماری از پورتال های كشور نشان از سوء استفاده از يك ضعف امنيتی بر روی CMS متن باز DotNetNuke دارد. اين CMS در نسخه های قبل از ۳.۰.۸ دارای يك نقص امنيتی جدی است كه در چند مرحله در سال های ۲۰۱۵ و ۲۰۱۶ مورد حمله واقع شده است. نسخه ی فعلی ۳.۰.۸ بر روی وبسايت شركت irandnn.ir، كه ارائه دهنده ی اين CMS به بسياری از پورتال ها در كشور می باشد، دارای آخرين به روز رسانی ها بوده و ضعف امنيتی معروف به Installation بر روی نسخه ی فعلی ارائه شده بر روی اين سايت، پوشش داده شده و آسيب پذيری وجود ندارد».
در ادامه ی این گزارش نیز آمده است: «به عبارت بهتر اين نسخه ۳.۰.۸ همان نسخه ی به روز رسانی شده ی ۰۷.۰۴.۰۱ مربوط به وبسايت اصلی سيستم مديريت محتوای DNN می باشد كه ضعف امنيت فوق بر روی آن پوشش داده شده است. در نسخه ی ۰۷.۰۴.۰۰ از CMS DNN متأسفانه هيچ گونه تدبيری در مورد دسترسی افراد غيرمجاز به سيستم نصب آن انديشيده نشده است. به همين دليل، نفوذگران با دسترسی Remote می توانند مجدداً سيستم CMS DNN را reinstall كرده و به سطح دسترسی Super User بر روی اين سيستم مديريت محتوا برسند. تمامی نسخه های قبل از نسخه ی ۰۷.۰۴.۰۰ هم دارای اين مشكل هستند».
گزارش مذکور در ادامه خاطرنشان کرده است که «وبسايت irandnn.ir در تاريخ ۱۴ خرداد ۹۵ اخطار امنيتی در مورد اين ضعف را گزارش داده و نحوه ی از بين بردن اين ضعف را به صورت دستی توضيح داده است. همچنين نسخه ی DNN فارسی خود را نیز به ۳.۰.۸ ارتقاء داده است كه كاربران می توانند از منوی به روز رسانی در صفحه ی مديريت سايت های خود، به صورت اتوماتيك نسخه ی DNN مورد استفاده بر روی سايت خود را به روز رسانی كنند».
گزارش دوم مرکز ماهر نیز راهنمایی فنی است که برای ارتقای امنیت فناوری اطلاعات در سازمان ها ارائه شده است.
پ
برای دسترسی سریع به تازهترین اخبار و تحلیل رویدادهای ایران و جهان
اپلیکیشن برترین ها
را نصب کنید.
ارسال نظر