آسیب‌پذیری در Zecurion DLP

آسیب‌پذیری در Zecurion DLP

به‌ گزارش کارشناسان شرکت فناوری اطلاعات رجــاء، آسیب‌پذیری‌های شناسایی‌شده در Zecurion DLP بیانگر نیاز جدی به بازنگری فنی و توسعه محصولات بومی امنیت اطلاعات است تا کشور بتواند به سطح پایداری و استقلال واقعی در حوزه امنیت سایبری دست یابد.

شرکت فناوری اطلاعات رجــاء بر مبنای تخصص و تجارب خود در حوزه محصولات DLP  و End-Point Security  و با هدف ارزیابی جامع، تحلیل عمیق و ارتقای سطح امنیت محصولات نرم‌افزاری سازمانی، اقدام به انجام ارزیابی فنی دقیق بر روی محصول Zecurion DLP  نسخه 13.0.0.102 در آزمایشگاه تخصصی امنیت اطلاعات این شرکت کرده است.

این ارزیابی با هدف بررسی میزان کارایی کنترل‌های امنیتی، صحت عملکرد سیاست‌های حفاظتی و انطباق سامانه با الزامات استانداردهای بین‌المللی نظیر ISO/IEC 27034،  NIST SP 800-115 و OWASP Testing Framework  انجام شد.
مطابق مستندات فنی پیوست در قالب سه فیلم ضبط‌شده، نتایج حاصل مجموعه‌ای از نقص‌های امنیتی و عملکردی را نشان می‌دهد که در شرایط خاص می‌تواند منجر به دور زدن سیاست‌های حفاظتی و افزایش ریسک نشت اطلاعات سازمانی شود.

شرکت فناوری اطلاعات رجــاء با رویکردی بی‌طرفانه و علمی و در راستای ایفای نقش حاکمیتی خود در ارتقای سطح اعتماد و امنیت ملی در زیرساخت‌های دیجیتال کشور، نتایج این ارزیابی را جهت اطلاع و بهره‌برداری مدیران ارشد فناوری، تصمیم‌گیران حوزه امنیت اطلاعات و دستگاه‌های حاکمیتی متولی این حوزه ارائه کرده‌است؛ با این امید که یافته‌های این گزارش در تدوین سیاست‌های فنی، اصلاح پیکربندی سامانه‌ها و ارتقای سطح ایمنی محصولات مشابه مورد استفاده قرار گیرد.

در فرایند ارزیابی، محیط آزمایشگاهی کنترل‌شده شامل ساختار دامنه و محیط  Workgroup، حافظه‌های جانبی و چندین ایستگاه کاری با سیستم‌عامل‌های مختلف جهت شبیه‌سازی شرایط واقعی کاربران سازمانی ایجاد شد.
در این محیط، سیاست‌های امنیتی (Policy Sets) متنوعی بر اساس تنظیمات پیشنهادی سازنده اعمال گردید تا کارایی مکانیزم‌های DLP در شرایط عادی و سوءاستفاده مورد بررسی قرار گیرد.
بر اساس ارزیابی انجام‌شده، موارد ذیل در محصول Zecurion DLP نسخه 13.0.0.102 وجود دارد که امکان دور زدن آن را فراهم می‌کند:

ضعف در مکانیزم رمزنگاری فایل‌ها هنگام انتقال به حافظه جانبی

در بررسی انجام‌شده بر روی ماژول File Encryption Policy  مشخص شد که فرآیند رمزنگاری فایل‌ها هنگام انتقال به رسانه‌های قابل حمل (Removable Devices) به‌صورت Event-based  و وابسته به تعاملات سطح کاربر (User-level Hooks)  پیاده‌سازی شده است.
در این ساختار، زمانی که فرایند انتقال داده از طریق ابزارهای سطح پایین نظیر  Hex Editors مانند (HxD) یا روش‌های مستقیم نوشتن داده (Raw Write Operation) انجام می‌گیرد، DLP Agent  قادر به رهگیری و اعمال سیاست رمزنگاری نیست.
این ضعف ناشی از عدم پیاده‌سازی ماژول فیلترینگ در سطح Kernel Mode و عدم Hook شدن در لایه File System Driver  است که باعث می‌شود انتقال داده در سطح بلوک‌های خام (Raw Data Blocks) از کنترل سیستم خارج گردد.

در این حالت، امکان نوشتن محتوای سازمانی به‌صورت غیررمزنگاری‌شده بر روی حافظه جانبی فراهم شده و سیاست امنیتی رمزنگاری به‌صورت کامل قابل دور زدن است.

نقص در مکانیزم Application Control

ماژول Application Control  در Zecurion DLP مبتنی بر شناسه فایل اجرایی (File Name و Path-based Identification)  عمل می‌کند و فاقد لایه اعتبارسنجی مبتنی بر Hash  یا Digital Signature  است.
در آزمون انجام‌شده، تغییر نام فایل اجرایی (Executable File) به نامی متفاوت از مقادیر تعریف‌شده در سیاست، موجب شد که DLP Agent  نتواند فرآیند اجرای برنامه را مسدود کند.
این رفتار نشان‌دهنده آن است که مکانیزم پایش فرآیندها در سطح Process Creation Hook  ناقص بوده و فاقد الگوریتم تطبیق مبتنی بر Hash یا Certificate Validation است.

در نتیجه، هر کاربر می‌تواند با تغییر نام فایل اجرایی، به‌راحتی از سیاست جلوگیری از اجرای نرم‌افزارهای غیرمجاز عبور کرده و نرم‌افزار را بدون هیچ‌گونه محدودیتی اجرا کند.

ناپایداری در عملکرد Watermarking بر روی اسناد

در بررسی ماژول Document Watermarking  مشخص شد که نمایش واترمارک در زمان باز کردن اسناد سازمانی از ثبات لازم برخوردار نیست. در برخی موارد واترمارک به‌صورت ناقص یا اصلاً نمایش داده نمی‌شود.
تحلیل فنی نشان داد که مکانیزم واترمارک در این نسخه بر اساس Dynamic Rendering  در سطح Application Layer پیاده‌سازی شده و به جای درج در محتوای فایل (Embedded Watermarking) ، صرفاً در لایه نمایش (Overlay Rendering)  اعمال می‌شود.
در نتیجه، در شرایطی مانند تغییر رزولوشن نمایشگر، استفاده از برنامه‌های غیرپیش‌فرض برای باز کردن سند یا استفاده از Remote Session (RDP)، واترمارک به‌صورت تصادفی از بین می‌رود یا غیرفعال می‌شود.
این مسئله خطر افشای اسناد سازمانی بدون شناسایی منبع نشت را افزایش می‌دهد.

محدودیت در اعمال سیاست‌های کاربرمحور در محیط  Workgroup

در محیط‌های فاقد  Domain Controller مانند (Workgroup)، سیستم مدیریت سیاست‌های Zecurion DLP امکان تخصیص سیاست به‌صورت User-based Policy Enforcement  را ندارد.
تحلیل تنظیمات نشان می‌دهد که DLP Agent  صرفاً از Machine-based Policy Mapping  استفاده می‌کند، که به معنی آن است که تمام کاربران یک سیستم از سیاست واحدی تبعیت می‌کنند.
در نتیجه، در سازمان‌هایی که نیاز به تفکیک سطح دسترسی کاربران در یک Workgroup وجود دارد، هیچ راهکاری برای اعمال سیاست‌های تفکیک‌شده (Granular Policies) در دسترس نیست.
این ضعف مانع از پیاده‌سازی کنترل دقیق مبتنی بر نقش (Role-based Access Control – RBAC) در محیط‌های غیر دامنه‌ای می‌شود.

نقص در کنترل Clipboard و مکانیزم Content Policy

در ماژول Content-aware Clipboard Control  مشخص شد که مکانیزم نظارت تنها در زمان انجام عملیات Copy/Paste  از طریق رابط‌های استاندارد سیستم‌عامل Context Menu یا (Ctrl+C / Ctrl+V) فعال می‌شود.
اما در روش‌های جایگزین مانند Drag & Drop  یا انتقال فایل از طریق Command Prompt (cmd.exe)، هیچ‌گونه مانیتورینگ یا رویداد امنیتی ثبت نمی‌گردد و در برخی موارد حتی ماژول  Snapshot (وب‌کم یا اسکرین‌شات) نیز فعال نمی‌شود.

تحلیل کدهای رفتاری نشان داد که عامل اصلی این مسئله، عدم پیاده‌سازی Hook در لایه Shell Extension و عدم مانیتورینگ APIهای غیراستاندارد Clipboard است.
بر اثر این نقص، کاربران می‌توانند از طریق Drag & Drop یا فرمان‌های خط فرمان، داده‌های حساس را بدون ثبت رویداد یا هشدار به خارج از محیط کنترل‌شده منتقل کنند.

Zecurion DLP

در جریان آزمون‌های فنی و تحلیل ساختار سامانه، تیم ارزیابی موفق به شناسایی مواردی شد که از جمله می‌توان به عدم کنترل کامل رمزنگاری در انتقال داده‌ها به حافظه جانبی، ضعف در مکانیزم Application Control ، ناپایداری در نمایش Watermark، محدودیت در پیاده‌سازی سیاست‌های کاربرمحور در محیط‌های Workgroup و نقص در کنترل  Clipboard  اشاره کرد.
وجود این کاستی‌ها نشان می‌دهد که اگرچه محصول Zecurion در لایه‌های ظاهری از قابلیت‌های امنیتی گسترده برخوردار است، اما در لایه‌های عمیق‌تر اجرایی، دارای ضعف‌هایی در تحقق واقعی سیاست‌های امنیتی و جلوگیری از نشت داده‌ها در محیط‌های عملیاتی سازمانی است.

این موضوع می‌تواند در شرایط بهره‌برداری در محیط‌های حساس، ریسک نفوذ، افشای اطلاعات طبقه‌بندی‌شده و کاهش اعتمادپذیری کلی سامانه را به همراه داشته باشد.
بر این اساس، شرکت فناوری اطلاعات رجــاء ضمن تأکید بر ضرورت بازنگری فنی و تقویت ساختارهای امنیتی در محصولات وارداتی حوزه فناوری اطلاعات، توصیه می‌نماید که سازمان‌ها و دستگاه‌های حاکمیتی متولی امنیت سایبری کشور توجه ویژه‌ای به توسعه و بومی‌سازی سامانه‌های امنیتی داخلی داشته باشند.

تجارب فنی و نتایج حاصل از این ارزیابی بار دیگر اثبات می‌کند که اتکاء به محصولات خارجی، به‌ویژه در حوزه‌های حیاتی نظیر امنیت اطلاعات و کنترل داده‌های سازمانی، فاقد پایداری و اطمینان راهبردی لازم است.
تنها از طریق توسعه، پشتیبانی و به‌کارگیری محصولات بومیِ مبتنی بر دانش و توان فنی داخلی می‌توان به استقلال، تاب‌آوری و پایداری واقعی در زیرساخت‌های دیجیتال کشور دست یافت.

شرکت فناوری اطلاعات رجــاء اعلام کرده است که مستندات و ادله فنی در قالب سه ویدئوی کامل ارزیابی تهیه شده و در اختیار علاقه‌مندان قرار خواهد گرفت.