[ad_1]

محققان در حال جستجوی اطلاعات ثبت شده از آزمایشگاه فیزیک ذرات ایالات متحده Fermilab هستند

تعداد زیادی از ورودی های بدون امنیت به محققان اجازه می دهد تا به داده های متعلق به Fermilab ، آزمایشگاه ملی فیزیک ذرات و شتاب دهنده های نگهداری شده توسط وزارت انرژی دسترسی پیدا کنند.

این هفته ، محققان امنیتی رابرت ویلیس، جان جکسون، و جکسون هنری از جانب ساکورا ساکورا یک گروه هکر اخلاقی جزئیات مربوط به چگونگی دستیابی به سیستم های حساس و داده های میزبانی شده در Fermilab را به اشتراک گذاشت.

پس از لیست کردن و زیرچشمی نگاه کردن به fnal.gov زیر دامنه ها با استفاده از ابزارهای معمول در دسترس مانند انباشتن، مدیر تحقیقات، و نقشه، محققان دایرکتوری های باز ، پورت های باز و سرویس های بدون امنیت را پیدا کردند که مهاجمان می توانند برای بازیابی اطلاعات خود استفاده کنند.

سرور FTP برهنه

از جمله دارایی های به نمایش درآمده ، سرور FTP Fermilab به نام ftp.fnal.gov بود که حاوی انبوهی از داده ها بود که اجازه ورود بدون رمز عبور بدون نام را می داد.
بزرگنمایی / از جمله دارایی های به نمایش درآمده ، سرور FTP Fermilab به نام ftp.fnal.gov بود که حاوی انبوهی از داده ها بود که اجازه ورود بدون رمز عبور بدون نام را می داد.

ساکورا ساکورا

سرور داده پیکربندی یکی از آزمایشهای Fermilab را به نام “NoVa” ارائه داده است که به مطالعه هدف نوترینوها در تکامل فضا می پردازد.

محققان دریافتند که یکی از بایگانی های tar.gz که در سرور FTP میزبانی می شود حاوی اطلاعات سرور CID Apache Tomcat است:

ساکورا ساکورا

محققان بررسی کردند که داده ها در زمان کشف معتبر بوده اند اما برای ادامه تلاش های خود در زمینه تحقیقات اخلاقی آزمایش بیشتر را متوقف کردند

هزاران سند و بلیط پروژه به نمایش گذاشته شده است

به همین ترتیب ، در مجموعه دیگری از زیر دامنه های نامحدود ، محققان بیش از 4500 بلیط را برای ردیابی پروژه های داخلی Fermilab یافتند. بسیاری از آنها حاوی پیوست های حساس و ارتباطات شخصی بودند.

ساکورا ساکورا

و یک سرور دیگر یک برنامه وب را اجرا کرد که نام کامل کاربران ثبت شده در کارگروه های مختلف را به همراه آدرس ایمیل ، شناسه کاربر و سایر اطلاعات خاص بخش ذکر کرده است.

سرور چهارم ، شناسایی شده توسط محققان ، 5،795 سند و 53،685 پرونده ورودی بدون نیاز به احراز هویت را نشان داد.

ویلیس ، یک محقق سامورایی ساکورا ، به آرس گفت: “من تعجب کردم که یک نهاد دولتی با بودجه بیش از نیم میلیارد دلار می تواند این همه حفره امنیتی داشته باشد.” “من معتقدم که آنها حتی بعد از این نامزدی از امنیت رایانه ای اولیه برخوردار نیستند ، که برای بیدار نگه داشتن شما در شب کافی است. من نمی خواهم یک بازیگر مخرب داده های مهم را که تولید صدها میلیون دلار برای ایالات متحده است ، بدزدد ، در حالی که توانایی دستکاری تجهیزات را دارد که می تواند تأثیر جدی بگذارد. “

کمبودهای جدی به سرعت برطرف شد

فعالیت های تحقیقاتی انجام شده توسط ویلیس ، جکسون و هنری مطابق با بود سیاست تشخیص آسیب پذیری Ferminab. فرمیلاب به سرعت به گزارش اولیه محققان واکنش نشان داد و به سرعت اشکالات را خرد کرد.

جكسون گفت: “فرمیلاب تعاملات موجود در یافته ها را به روشی سریع و مثبت مدیریت كرد. آنها صحت آسیب پذیری های ما را زیر سوال نبردند و بلافاصله آنها را حفاری و وصله كردند – ضمن تأیید احساس فوریت ،”. وی افزود: “اولین فكر ما در مورد این بود كه یك بازیگر دولت-ملت می تواند این داده ها را بدست آورد ، خصوصاً به این دلیل كه جای تعجب نیست كه Fermilab در حال انجام تحقیقات پیشگامانه است.”

“ما می دانستیم که باید سریع اقدام کنیم و به فرمیلاب اطلاع دهیم. با این حال ، هنوز هم دیوانه است که ببینیم سهولت دستیابی به داده های حساس را که شامل مدارک لازم برای تجهیزات علمی و سرورها است ، به دست آورده ایم. “

این کشف توسط آزمایشگاه ملی بودجه دولت ایالات متحده با نقص امنیتی جدی که عملیاتی بی اهمیت است در حالی صورت می گیرد که بسیاری از آژانس های فدرال آمریکا همچنان هدف حملات سایبری قرار دارند.

همین هفته گذشته ، آرس گزارش داد که شرکت کنندگان در این تهدید به طور بالقوه حداقل پنج آژانس دولتی ایالات متحده را از طریق آسیب پذیری های VPN Pulse Connect Secure هک کرده اند. به طور جداگانه ، FBI در حال تلاش برای سیاه نمایی از اپراتورهای باج افزار علیه اداره پلیس پایتخت در واشنگتن است.

فرمیلاب از اظهار نظر در این باره خودداری کرد.

یافته های دقیق محققان مربوط به مطالعه در آنها ارائه شده است پست وبلاگ.

آکس شارما یک محقق ، مهندس و گزارشگر امنیتی است که در نشریات برجسته منتشر می کند. تجربه وی در زمینه مطالعه بدافزار ، مهندسی معکوس و امنیت برنامه است. وی عضوی فعال در جامعه بنیاد OWASP و انجمن روزنامه نگاران انگلیس است.



[ad_2]

منبع: tarjome-news.ir