کمیته رکن چهارم – شرکت فناوری اطلاعات رجاء از شناسایی چندین آسیبپذیری جدی در نرمافزار Zecurion DLP خبر داده که میتواند منجر به دور زدن سیاستهای حفاظتی و افزایش ریسک نشت اطلاعات سازمانی شود.
به گزارش کمیته رکن چهارم، این آسیبپذیریها در جریان ارزیابی نسخه ۱۳٫۰٫۰٫۱۰۲ از Zecurion DLP در آزمایشگاه تخصصی امنیت اطلاعات رجاء و بر اساس استانداردهایی مانند ISO/IEC 27034 و NIST SP 800-115 شناسایی شدهاند. از جمله این نقصها میتوان به ضعف در رمزنگاری فایل هنگام انتقال به حافظه جانبی، نقص در کنترل برنامههای اجرایی با تغییر نام فایل، ناپایداری در نمایش واترمارک اسناد، عدم امکان اعمال سیاستهای تفکیکی برای کاربران در محیطهای Workgroup و ناتوانی در نظارت کامل بر انتقال داده از طریق Clipboard اشاره کرد.
در این ارزیابی، مشخص شد که مکانیزمهای امنیتی در برخی ماژولها وابسته به تعاملات سطح کاربر بوده و در برابر روشهای فنی سطح پایین مانند نوشتن مستقیم دادهها یا تغییر نام فایل، عملکرد مؤثری ندارند. همچنین مکانیزم واترمارک صرفاً در لایه نمایش فعال بوده و در شرایط خاص مانند استفاده از نشستهای ریموت، غیرفعال میشود.
کارشناسان تأکید دارند که محدودیتهای ساختاری در نسخه مورد بررسی میتواند در محیطهای عملیاتی و حساس منجر به افزایش ریسک افشای اطلاعات طبقهبندیشده شود. شرکت رجاء با انتشار این نتایج علمی و فنی، خواستار توجه بیشتر به توسعه و بومیسازی سامانههای امنیت اطلاعات در کشور شده است.
در پایان، شرکت رجاء اعلام کرد که مستندات کامل این ارزیابی شامل سه ویدئو تهیه شده و برای استفاده کارشناسان و مدیران حوزه امنیت در دسترس قرار خواهد گرفت.
