সর্বদা সংযুক্ত, সর্বদা দুর্বল: উত্তরাধিকার ভিপিএন এবং ফায়ারওয়ালগুলির নেতিবাচক দিক

গত বছরটি ভিপিএন দুর্বলতার সাথে ঝাঁকুনি-এ-তিলের একটি ধ্রুবক খেলা ছিল, যা পুরানো রিমোট অ্যাক্সেস সিস্টেম ব্যবহার করে এমন সংস্থাগুলিকে সম্ভাব্য সাইবার আক্রমণগুলির জন্য উন্মুক্ত রেখেছিল। হ্যাকাররা ভিপিএন থেকে শুরু করে উচ্চ-তীব্রতা ইভান্তি সিভিই এবং ফোর্টিনেট ফোর্টিভিপিএন ইভেন্টগুলি থেকে শুরু করে পালো আল্টো নেটওয়ার্কস, প্যান-ওএস এবং টেলিগ্রামের মতো মেসেজিং অ্যাপ্লিকেশনগুলির মতো ফায়ারওয়াল পর্যন্ত দৈনন্দিন সফ্টওয়্যারগুলিতে সমালোচনামূলক ত্রুটিগুলি কাজে লাগাচ্ছে। প্রতিপক্ষকে রিমোট কোড এক্সিকিউশনের মাধ্যমে ডিভাইসগুলির সম্পূর্ণ নিয়ন্ত্রণ নিতে বা ডিনায়াল-অফ-সার্ভিস (ডিওএস) আক্রমণগুলির সাথে ডিভাইসগুলিতে অ্যাক্সেস ব্লক করার অনুমতি দিয়ে, এই দুর্বলতাগুলি আপনার মূল্যবান ডেটা ঝুঁকিতে ফেলেছে।

২০২৩ সালের ডিসেম্বরে, চীনা রাষ্ট্র-সমর্থিত হ্যাকাররা ইভান্তি ভিপিএন পণ্যগুলিতে জিরো-ডে দুর্বলতাগুলি (সিভিই-2023-46805 এবং সিভিই-2023-21887) কাজে লাগিয়ে রিমোট কমান্ড ইনজেকশনের মাধ্যমে প্রমাণীকরণ বাইপাস এবং রিমোট কন্ট্রোলের মাধ্যমে অননুমোদিত অ্যাক্সেস সক্ষম করে। প্যাচগুলি প্রকাশিত হওয়ার পরেও, আক্রমণকারীরা সংশোধনগুলি বাইপাস করতে এবং তাদের দূষিত ক্রিয়াকলাপ চালিয়ে যাওয়ার জন্য নতুন দুর্বলতা (সিভিই-2024-21888) খুঁজে পেয়েছিল।

চলতি বছরের ফেব্রুয়ারিতে যুক্তরাষ্ট্রের সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) আরেকটি ভিপিএন আক্রমণের বিষয়ে সতর্কতা জারি করে। এবার, লক্ষ্য ছিল সিসকো এএসএ সুরক্ষা সরঞ্জাম, যা ফায়ারওয়াল, অ্যান্টিভাইরাস, অনুপ্রবেশ প্রতিরোধ এবং ভার্চুয়াল ভিপিএন ক্ষমতাগুলিকে একত্রিত করে। অপরাধী একটি পরিচিত দুর্বলতা (সিভিই-2020-3259) আকিরা র্যানসমওয়্যার গ্রুপ দ্বারা শোষিত হয়েছিল, যা উইন্ডোজ এবং লিনাক্স উভয় সিস্টেমকেই আক্রমণ করে। সাইবার ক্রাইম সংস্থাটি ডেটা চুরি করতে ভুল কনফিগার করা ওয়েবভিপিএন / এনিকানেক্ট সেটআপগুলির সুযোগ নিয়েছিল।

এই সাম্প্রতিকতম দুর্বলতা পালো আল্টো নেটওয়ার্ক থেকে। সিভিই-2024-3400 হিসাবে ট্র্যাক করা এই সমালোচনামূলক জিরো-ডে, বিক্রেতার গ্লোবালপ্রোটেক্ট ভিপিএন পণ্যকে প্রভাবিত করে। পালো আল্টো নেটওয়ার্কস প্যান-ওএসে পাওয়া সমালোচনামূলক সুরক্ষা গর্তটি আক্রমণকারীদের ফায়ারওয়ালের রুট বিশেষাধিকার এবং ভিপিএন সংযোগের সুবিধার্থে সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে দেয়, সমস্ত ব্যবহারকারীর নাম এবং পাসওয়ার্ডের প্রয়োজন ছাড়াই। সহজভাবে বলতে গেলে, এই শূন্য-দিনের হুমকির সর্বোচ্চ তীব্রতা স্কোর সম্ভব: 10 এর মধ্যে 10।

ভলেক্সিটি দ্বারা প্রকাশিত প্রাথমিক আবিষ্কার নিবন্ধে, গবেষণায় দেখা গেছে যে আক্রমণকারী ডিভাইসগুলি থেকে কনফিগারেশন ডেটা রফতানির দিকে মনোনিবেশ করেছিল এবং তারপরে লক্ষ্যযুক্ত সংস্থাগুলির মধ্যে পার্শ্বীয়ভাবে সরানোর জন্য এটি একটি এন্ট্রি পয়েন্ট হিসাবে ব্যবহার করেছিল।

জিরো-ডে শোষণ ব্যবহার করে এই পুনরাবৃত্তি আক্রমণগুলি একটি সম্পর্কিত প্রবণতা হাইলাইট করে: সমস্যাটি ভিপিএনগুলির পুরানো আর্কিটেকচারের সাথে রয়েছে, কোনও নির্দিষ্ট বিক্রেতার সাথে নয়।

কেন এই ঘটনাগুলো ঘটছে?

গত বেশ কয়েক বছর ধরে, এসএসএল ভিপিএন পণ্যগুলি আর্থিকভাবে অনুপ্রাণিত সাইবার অপরাধী এবং জাতি-রাষ্ট্র হ্যাক্টিভিস্ট উভয়ই বিস্তৃত হুমকি অভিনেতাদের দ্বারা লক্ষ্যবস্তু হয়েছে। আপনি এই ঘটনাটি কীভাবে ব্যাখ্যা করবেন? উত্তরটি তুলনামূলকভাবে সহজ: এসএসএল ভিপিএনগুলি মূল্যবান কর্পোরেট ডেটার ভাণ্ডার অ্যাক্সেসের জন্য একটি এন্ট্রি পয়েন্ট হিসাবে পরিবেশন করতে পারে। তারা কোনও সংস্থার নেটওয়ার্কে সরাসরি পথ সরবরাহ করে, তাদের আরও আক্রমণগুলির জন্য একটি মূল্যবান স্টেজিং গ্রাউন্ড তৈরি করে।

কোভিড -১৯ মহামারীর পরে দূরবর্তী কাজের বৃদ্ধি এসএসএল ভিপিএনগুলিকে একটি দ্বি-ধারী তরোয়ালে রূপান্তরিত করেছে। যেহেতু এগুলি অ্যাক্সেস করা সহজ, আক্রমণকারীরা ফিশিং এবং অন্যান্য সামাজিকভাবে ইঞ্জিনিয়ারড আক্রমণগুলিতে দূরবর্তী কর্মীদের সংবেদনশীলতা কাজে লাগাতে পারে।

সাম্প্রতিক ভিপিএন এবং ফায়ারওয়াল দুর্বলতাগুলি, যেমন পালো আল্টো নেটওয়ার্কস গ্লোবালপ্রোটেক্ট ত্রুটি, আরও একটি সম্পর্কিত প্রবণতা হাইলাইট করে। এটি নির্দিষ্ট বিক্রেতাদের দিকে আঙুল তোলার বিষয়ে নয়। বরং, এটি এই প্রযুক্তিগুলির মৌলিক নকশা ত্রুটি সম্পর্কে। সংস্থাগুলিকে সচেতন হতে হবে যে ফায়ারওয়াল এবং ভিপিএনগুলির মতো ইন্টারনেট-মুখী সম্পদগুলি লঙ্ঘনের জন্য প্রধান লক্ষ্য। একবার আক্রমণকারীরা অ্যাক্সেস অর্জন করলে, ঐতিহ্যবাহী উত্তরাধিকার আর্কিটেকচারগুলি তাদের নেটওয়ার্কের মধ্যে অবাধে চলাফেরা করতে দেয়, সংবেদনশীল ডেটা চুরি করে এবং সমালোচনামূলক অ্যাপ্লিকেশনগুলির সাথে আপস করে।

যুক্তরাষ্ট্রের সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং অস্ট্রেলিয়ান সাইবার সিকিউরিটি সেন্টার (এসিএসসি) নির্দেশিকা প্রকাশ করে বলেছে, সব আকারের প্রতিষ্ঠান, বিশেষ করে সরকারে থাকা প্রতিষ্ঠানগুলোকে। এই নিবন্ধগুলিতে যেখানে সম্ভব সেখানে প্যাচিং এবং এক্সপোজার সীমাবদ্ধ করতে সহায়তা করার জন্য অতিরিক্ত সংস্থান অন্তর্ভুক্ত রয়েছে।

প্যাচিং দুর্বলতাগুলি অত্যন্ত গুরুত্বপূর্ণ রয়ে গেছে, তবে শূন্য-দিনের আক্রমণগুলির বিরুদ্ধে সত্যিকারের সক্রিয় প্রতিরক্ষার জন্য, একটি জিরো ট্রাস্ট আর্কিটেকচার সবচেয়ে উল্লেখযোগ্য সুবিধা দেয়।

এক্সপোজার সীমাবদ্ধ করতে সহায়তা করার জন্য বেশ কয়েকটি মৌলিক পদক্ষেপ রয়েছে:

• - আক্রমণ পয়েন্টগুলি হ্রাস করুন: প্রাথমিক লঙ্ঘনগুলি রোধ করতে সমালোচনামূলক অ্যাপ্লিকেশন এবং দুর্বল ভিপিএনগুলিকে অনলাইনে অদৃশ্য করুন।
• লঙ্ঘন সীমাবদ্ধ করুন: আপোস করা সিস্টেমগুলি থেকে ক্ষতি হ্রাস করতে ব্যবহারকারীদের সরাসরি অ্যাপ্লিকেশনগুলিতে সংযুক্ত করুন।
• গেটে হুমকি বন্ধ করুন: স্বয়ংক্রিয়ভাবে উদীয়মান হুমকিগুলি ব্লক করতে সমস্ত ট্র্যাফিক ক্রমাগত পরিদর্শন করুন।
• অ্যাক্সেস বিশেষাধিকার সীমাবদ্ধ করুন: অননুমোদিত ক্রিয়াকলাপগুলি রোধ করার জন্য ব্যবহারকারীদের কেবলমাত্র তাদের প্রয়োজনীয় অ্যাক্সেস দিন।

"জিরো ট্রাস্ট" সুরক্ষা স্পেসে একটি গুঞ্জন শব্দ হয়ে উঠেছে, তবে, যখন সঠিকভাবে করা হয়, এটি এমন একটি পদ্ধতি যার আসল মূল্য রয়েছে। জিরো ট্রাস্ট নীতি এবং এর অন্তর্নিহিত আর্কিটেকচার বাস্তবায়নের মাধ্যমে, সংস্থাগুলি ফায়ারওয়াল এবং ভিপিএন পণ্যগুলির দুর্বলতা থেকে গুরুতর এক্সপোজার সহ ঐতিহ্যবাহী নেটওয়ার্কগুলিতে সুরক্ষা ঝুঁকিগুলি কার্যকরভাবে মোকাবেলা করতে পারে।

আপনি যদি ভিপিএন-এর উপর নির্ভরতা হ্রাস করতে পারেন এবং এর ফলে অন্য কোনও দুর্বলতা দ্বারা আবার প্রকাশিত হওয়ার ঝুঁকিটি বাতিল করতে পারেন তবে কেন সেই বিকল্পটি অন্বেষণ করবেন না? জিরো ট্রাস্ট পুরনো রুলবুককে ছুঁড়ে ফেলে দেয়। ফায়ারওয়াল এবং ভিপিএন দ্বারা সুরক্ষিত ঐতিহ্যবাহী নেটওয়ার্কগুলির বিপরীতে, জিরো ট্রাস্ট একটি কেন্দ্রীয় "বিশ্বস্ত অঞ্চল" এর উপর নির্ভর করে না। পরিবর্তে, এটি ব্যবহারকারীদের এবং তাদের প্রয়োজনীয় নির্দিষ্ট সংস্থানগুলির মধ্যে সরাসরি সুরক্ষিত সংযোগ তৈরি করে। এটি কেবল ব্যবহারকারী এবং অ্যাপ্লিকেশনগুলির বাইরেও যায়। জিরো ট্রাস্ট ওয়ার্কলোড, শাখা অফিস, দূরবর্তী কর্মী, এমনকি শিল্প নিয়ন্ত্রণ ব্যবস্থাকে সংযুক্ত করতে পারে।

Skyhigh Security অনুরোধকারী ব্যবহারকারী বা ডিভাইসটিকে কর্পোরেট নেটওয়ার্কে নির্দেশ করার পরিবর্তে অনুমোদিত অ্যাপ্লিকেশনগুলিতে একটি সুরক্ষিত সংযোগ সহজতর করে এটি সক্ষম করে। সংবেদনশীল সংস্থানগুলিতে অ্যাক্সেস মঞ্জুর করার আগে প্রতিটি ব্যবহারকারী, ডিভাইস এবং সংযোগ ক্রমাগত যাচাই করা হয়। আপনার ব্যবহারকারীদের জন্য প্রাপ্যতা বা পারফরম্যান্সের সাথে আপস না করে সর্বদা ডেটা সুরক্ষা এবং অখণ্ডতা নিশ্চিত করে ডিফল্টরূপে বিশ্বাস কখনই মঞ্জুর করা হয় না।

নিরাপত্তা নেতাদের জিরো ট্রাস্টকে আলিঙ্গন করার সময় এসেছে। এই ক্লাউড-ভিত্তিক পদ্ধতিটি ফায়ারওয়াল, ভিপিএন এবং অন্যান্য উত্তরাধিকার প্রযুক্তির সাথে সম্পর্কিত দুর্বলতাগুলি দূর করে আক্রমণের পৃষ্ঠকে সঙ্কুচিত করে। আক্রমণকারীদের তাদের স্বাভাবিক এন্ট্রি পয়েন্টগুলি অস্বীকার করে, জিরো ট্রাস্ট একটি শক্তিশালী প্রতিরক্ষা এবং আরও শক্তিশালী সুরক্ষা ভঙ্গি তৈরি করে।

তথ্যসূত্র:

• https://www.cisa.gov/news-events/alerts/2024/04/12/palo-alto-networks-releases-guidance-vulnerability-pan-os-cve-2024-3400
• https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/os-command-injection-vulnerability-in-globalprotect-gateway
• https://security.paloaltonetworks.com/CVE-2024-3400
• https://therecord.media/vpn-zero-day-palo-alto-networks