کالبدشکافی ManageEngine (بخش اول): آسیبپذیری در هسته؛ چگونه مانیتورینگ به پاشنه آشیل امنیت شبکه تبدیل میشود؟
پیش از ورود به بحث لازم است تأکید کنیم که هدف این مجموعه مقالات زیر سؤال بردن ارزش یا توانمندی ابزارهای مطرح مانیتورینگ زیرساخت فناوری اطلاعات نیست. بسیاری از این راهکارها سالهاست در سازمانهای مختلف مورد استفاده قرار گرفتهاند و نقش مهمی در پایش و مدیریت محیطهای IT ایفا میکنند. آنچه در این مجموعه مقالات بررسی میشود، بیشتر نگاهی تحلیلی به برخی محدودیتها و چالشهایی است که میتوانند برای سازمانها مسئلهساز شوند.
در بسیاری از سازمانها، ابزارهای مدیریت و مانیتورینگ زیرساخت مانند ManageEngine به یکی از مرکزیترین اجزای محیط IT تبدیل میشوند. این سامانهها برای انجام وظایف خود ناچارند به طیف گستردهای از منابع حیاتی دسترسی داشته باشند؛ از Active Directory و سرورها گرفته تا تجهیزات شبکه، پایگاههای داده و حتی حسابهای با سطح دسترسی بالا. در عمل، چنین ابزاری نهتنها وضعیت زیرساخت را مشاهده میکند، بلکه در بسیاری از موارد قادر است تغییرات گستردهای در آن اعمال کند.
همین سطح از دسترسی و تمرکز کنترلی باعث میشود که این دسته از پلتفرمها به یکی از حساسترین نقاط امنیتی در معماری شبکه تبدیل شوند. اگر مهاجمی بتواند کنترل چنین سیستمی را به دست بگیرد، عملاً به نقطهای دسترسی پیدا کرده است که میتواند از آن برای مشاهده، کنترل و حتی گسترش دسترسی در بخشهای مختلف زیرساخت استفاده کند.
در این مقاله تلاش میکنیم ManageEngine را از زاویهای متفاوت بررسی کنیم؛ نه صرفاً به عنوان یک ابزار مانیتورینگ یا مدیریت IT، بلکه به عنوان سیستمی که به دلیل جایگاه معماری و سطح دسترسیهایش، در صورت بروز ضعفهای امنیتی میتواند به یکی از بزرگترین نقاط نفوذ در شبکه سازمان تبدیل شود.
دسترسیهای ManageEngine فراتر از یک ابزار مانیتورینگ
برای درک بهتر ریسک امنیتی چنین پلتفرمهایی، ابتدا باید به نوع دسترسیهایی که ابزارهایی مانند ManageEngine در محیط سازمان دریافت میکنند نگاه کنیم. برخلاف بسیاری از نرمافزارهای معمول سازمانی، ابزارهای مدیریت زیرساخت برای انجام وظایف خود نیازمند دسترسی مستقیم به بخشهای حیاتی شبکه هستند. در پیادهسازیهای رایج ManageEngine این دسترسیها میتواند شامل ارتباط با Active Directory، دسترسی مدیریتی به سرورها، اتصال به تجهیزات شبکه، پایگاههای داده و در برخی موارد حتی ذخیرهسازی اعتبارنامههای مدیریتی باشد.
در بسیاری از پیادهسازیها، برای اینکهManageEngine بتواند عملیاتهایی مانند کشف خودکار تجهیزات(Discovery)، مانیتورینگ سرویسها، اجرای اسکریپتها یا نصب Agentها را انجام دهد، حسابهایی با سطح دسترسی بالا در اختیار آن قرار داده میشود. به همین دلیل سروری که پلتفرم ManageEngine روی آن اجرا میشود عملاً به نقطهای تبدیل میشود که میتواند با بخش بزرگی از زیرساخت سازمان تعامل مستقیم داشته باشد.
این مسئله زمانی اهمیت بیشتری پیدا میکند که بدانیم بسیاری از قابلیتهایManageEngine تنها به مشاهده محدود نمیشوند و امکان اعمال تغییر در محیط را نیز فراهم میکنند؛ از اجرای دستورات روی سرورها گرفته تا اعمال تنظیمات روی تجهیزات شبکه یا استقرار نرمافزار در مقیاس وسیع. در چنین شرایطی، اگر این پلتفرم به هر دلیلی مورد سوءاستفاده قرار گیرد، مهاجم میتواند از همان مکانیزمهایی استفاده کند که در حالت عادی برای مدیریت زیرساخت طراحی شدهاند.
به همین دلیل است که در معماری امنیتی، ابزارهای مدیریت زیرساخت اغلب به عنوان نقاط با ریسک بالا شناخته میشوند. چرا که در صورت نفوذ به این لایه، مهاجم دیگر نیازی به نفوذ جداگانه به هر سرور یا تجهیز نخواهد داشت؛ بلکه میتواند از همان پلتفرم مرکزی برای حرکت در سراسر شبکه استفاده کند.
تمرکز اعتبارنامهها؛ نقطهای جذاب برای مهاجمان
یکی دیگر از جنبههای کمتر مورد توجه در ManageEngine، نحوه مدیریت و نگهداری اعتبارنامهها (Credentials) است. برای اینکه ابزارهای مدیریت زیرساخت بتوانند وظایفی مانند مانیتورینگ سرویسها، اتصال به سیستمها، اجرای دستورات از راه دور یا جمعآوری دادههای عملکردی را انجام دهند، معمولاً نیاز دارند مجموعهای از نامهای کاربری و گذرواژههای مختلف را در اختیار داشته باشند.
در بسیاری از سازمانها این اعتبارنامهها شامل حسابهای مدیریتی ویندوز، دسترسی به Active Directory، حسابهای SSH برای سرورهای لینوکسی، دسترسی به پایگاههای داده و حتی اطلاعات ورود به تجهیزات شبکه میشود. در نتیجه، سروری که پلتفرم مدیریت روی آن اجرا میشود عملاً به مخزنی از اطلاعات حساس تبدیل میشود.
تمرکز چنین حجم از دسترسیها در یک نقطه، به طور طبیعی آن را به هدفی بسیار ارزشمند برای مهاجمان تبدیل میکند. در سناریویی که این سامانه مورد نفوذ قرار بگیرد، مهاجم ممکن است نهتنها به خود سیستم دسترسی پیدا کند، بلکه بتواند به اعتبارنامههایی دست یابد که در بخشهای مختلف زیرساخت مورد استفاده قرار میگیرند.
به همین دلیل در بسیاری از حملات پیشرفته، مهاجمان تلاش میکنند به جای نفوذ مستقیم به تکتک سرورها، ابتدا به سامانههای مدیریتی و کنترلی دسترسی پیدا کنند. چرا که کنترل چنین پلتفرمی میتواند به معنای دسترسی غیرمستقیم به بخش بزرگی از زیرساخت سازمان باشد.
وقتی یک آسیبپذیری به دسترسی سراسری تبدیل میشود
ریسک چنین سامانههایی زمانی جدیتر میشود که وجود آسیبپذیریهای نرمافزاری را نیز در نظر بگیریم. اگر نگاهی به هشدارهای مراجع امنیتی جهانی در چند سال اخیر بیندازیم، بارها شاهد آسیبپذیریهای بحرانی با امتیاز CVSS=10 در ماژولهای مختلف ManageEngine بودهایم که امکان اجرای کد از راه دور (Remote Code Execution) را بدون نیاز به احراز هویت برای مهاجم فراهم میکردند.
در سالهای اخیر، گروههای باجافزاری پیشرفته (APT) بارها از این آسیبپذیریها به عنوان درب ورودی برای تسخیر کل شبکه و استقرار باجافزار استفاده کردهاند؛ زیرا با یک بار نفوذ به این سیستم، مهاجم کلید پادشاهی شبکه (Domain Admin) را در دست میگیرد.
در چنین سناریویی، مسئله صرفاً نفوذ به یک سرور نرمافزاری نیست. مهاجم در واقع به سیستمی دسترسی پیدا میکند که خود به بخشهای متعددی از زیرساخت متصل است و برای انجام وظایفش از سطح دسترسیهای گسترده استفاده میکند. به بیان سادهتر، نفوذ به چنین پلتفرمی میتواند به معنای دسترسی غیرمستقیم به سرورها، سرویسها و تجهیزات مختلف شبکه باشد.
در برخی موارد مشاهده شده که مهاجمان پس از نفوذ اولیه به این نوع سامانهها، از همان قابلیتهای داخلی پلتفرم برای حرکت در شبکه استفاده میکنند؛ قابلیتهایی که در حالت عادی برای مدیریت و اتوماسیون زیرساخت طراحی شدهاند. اجرای اسکریپتها، استقرار نرمافزار یا برقراری ارتباط با سیستمهای مختلف، همگی میتوانند به ابزارهایی برای گسترش دسترسی مهاجم تبدیل شوند.
چرا در برخی محیطها ریسک ManageEngine بیشتر میشود؟
ManageEngine در عمل یک پلتفرم یکپارچه واحد نیست، بلکه مجموعهای از محصولات مستقل است که هرکدام وظیفهای مشخص در مدیریت زیرساخت دارند؛ از مانیتورینگ شبکه و سرور گرفته تا مدیریت Active Directory، مدیریت Endpointها، تحلیل لاگ و مدیریت رمزهای عبور. در بسیاری از سازمانها چندین مورد از این محصولات بهصورت همزمان نصب و با یکدیگر یکپارچه میشوند.
نتیجه این رویکرد، افزایش شدید سطح حمله (Attack Surface) است؛ زیرا هر محصول دارای سرویسها، رابطهای وب و مکانیزمهای احراز هویت خاص خود است و آسیبپذیری در یکی از این اجزا میتواند به نقطه ورود مهاجم به زیرساخت تبدیل شود.
از سوی دیگر، بسیاری از قابلیتهای این محصولات برای عملکرد صحیح نیازمند دسترسیهای مدیریتی گسترده هستند. برای مثال، استقرار نرمافزار روی Endpointها یا تغییر تنظیمات تجهیزات شبکه معمولاً مستلزم ذخیره و استفاده از اعتبارنامههای قدرتمند است. در نتیجه، سرورهای ManageEngine به نقطهای تبدیل میشوند که حجم قابل توجهی از دسترسیهای مدیریتی زیرساخت در آن متمرکز شده است و در صورت نفوذ، به بهترین سکو برای حرکت جانبی (Lateral Movement) در شبکه تبدیل میشوند.
جمعبندی
معماری سنتی این ابزارها که بر اساس دسترسیهای گسترده و کنترل همهجانبه (God-Mode) کار میکند، در تضاد کامل با پارادایمهای امنیتی مدرن مانند «معماری اعتماد صفر» (Zero Trust Architecture) قرار دارد. آنچه ManageEngine و ابزارهای مشابه را به نقطهای حساس تبدیل میکند، صرفاً وجود آسیبپذیریهای نرمافزاری نیست؛ بلکه جایگاهی است که این پلتفرمها در زیرساخت پیدا میکنند.
در سالهای اخیر توجه بیشتری به معماری امنیتی ابزارهای مدیریت زیرساخت جلب شده است. در بسیاری از راهکارهای جدیدتر تلاش شده با بازنگری در مدل دسترسی، نحوه نگهداری اعتبارنامهها و شیوه تعامل با اجزای زیرساخت، تمرکز ریسک کاهش یابد. این رویکرد معمولاً شامل استفاده از مدلهای دقیقتر کنترل دسترسی، ثبت کامل فعالیتها (Audit Log)، رمزنگاری امن اعتبارنامهها و محدودسازی سطح دسترسیها بر اساس اصل «حداقل دسترسی لازم» است.
برای مثال در پلتفرم مانیتورینگ معین، تلاش شده علاوه بر این ملاحظات امنیتی، وابستگی به یک نقطه کنترل کاملاً آسیبپذیر کاهش یابد. این پلتفرم با تمرکز بر امنیت درونساختاری، موفق به دریافت گواهی امنیتی «افتا» شده است؛ گواهی ارزشمندی که نشان میدهد محصول از نظر الزامات پایهای امنیت نرمافزار، معماری امن، کنترل دسترسی، ثبت رویدادها و مدیریت آسیبپذیریها بهطور دقیق مورد ارزیابی قرار گرفته است.
این موضوع نشان میدهد که در انتخاب ابزارهای زیرساختی، مسئله صرفاً لیست قابلیتها نیست؛ بلکه نحوه همگامسازی معماری آنها با اصول امنیتی سازمان است که بقا و امنیت کسبوکار را در برابر تهدیدات مدرن تضمین میکند.
