مایکروسافت : سو استفاده هکرها از باگ جدید SolarWinds Serv-U مرتبط با حملات Log4j

مایکروسافت روز چهارشنبه جزئیات یک آسیب‌پذیری امنیتی جدید در نرم‌افزار SolarWinds Serv-U را فاش کرد که به گفته آن‌ها توسط عوامل تهدید برای انتشار حملات با استفاده از نقص‌های Log4j برای به خطر انداختن اهداف مورد استفاده قرار گرفته است.

مرکز اطلاعات تهدید مایکروسافت (MSTIC) گفت: « این مشکل که تحت عنوان CVE-۲۰۲۱-۳۵۲۴۷ (امتیاز CVSS: 5.3) معرفی می‌شود، یک آسیب‌پذیری اعتبار سنجی ورودی است که می‌تواند به مهاجمان اجازه دهد تا یک کوئری را با توجه به مقداری ورودی بسازند و آن کوئری را بدون بررسی از طریق شبکه ارسال کنند».

این نقص که توسط محقق امنیتی جاناتان بار اور کشف شد، نسخه‌های Serv-U 15.2.5 و قبل از آن را تحت تأثیر قرار می‌دهد و در Serv-U نسخه ۱۵. ۳ مورد بررسی قرار گرفته است.

مجموعه SolarWinds در توصیه امنیتی گفت: «صفحه ورود به وب Serv-U برای احراز هویت LDAP به کاراکتر‌هایی اجازه فعالیت می‌دهد که به حد کافی بررسی و پاکسازی نشده‌اند» و افزود: «مکانیسم ورودی را برای انجام اعتبارسنجی و پاک‌سازی اضافی بروزرسانی کرده است».

سازنده نرم‌افزار مدیریت فناوری اطلاعات همچنین خاطرنشان کرد که “هیچ تأثیر پایین دستی شناسایی نشده است زیرا سرور‌های LDAP کاراکتر‌های نامناسب را ایگنور می‌کنند”. هنوز مشخص نیست که حملات شناسایی شده توسط مایکروسافت صرفاً تلاشی برای سواستفاده از نقص بوده یا در نهایت موفقیت‌آمیز بوده است.

این توسعه در حالی صورت می‌گیرد که چندین عامل تهدید همچنان از نقص‌های Log4Shell برای اسکن انبوه و نفوذ به شبکه‌های آسیب‌پذیر برای استقرار backdoor‌ها، استخراج‌کنندگان رمزارز، باج‌افزار‌ها و shell‌های راه دور استفاده می‌کنند که به فعالیت‌های پس از بهره‌برداری بیشتر، دسترسی دائمی می‌دهند.

محققان Akamai، در تحلیلی که این هفته منتشر شد، همچنین شواهدی مبنی بر سواستفاده از نقص‌ها برای آلوده کردن و کمک به تکثیر بدافزار‌های مورد استفاده توسط بات‌نت Mirai پیدا کرده‌اند.

علاوه بر این، قبلا مشاهده شده بود که یک گروه هکر مستقر در چین از یک آسیب‌پذیری امنیتی حیاتی که SolarWinds Serv-U (CVE-۲۰۲۱-۳۵۲۱۱) را تحت تأثیر قرار می‌دهد برای نصب برنامه‌های مخرب بر روی ماشین‌های آلوده سواستفاده می‌کند.

بیشتر بخوانید

تهدید خدمات مشتری سیسکو با اشکال بحرانی در مرکز ارتباطات سیسکو

مهاجمان می‌توانند به منابع ایجنت، صف تلفن مشتریان و سایر سیستم‌های خدمات مشتری دسترسی داشته باشند و آن‌ها را تغییر دهند و همچنین به اطلاعات شخصی مشتریان شرکت‌ها دسترسی داشته باشند.

یک باگ امنیتی حیاتی که بر پورتفولیوی Unified Contact Center Enterprise (UCCE) سیسکو تأثیر می‌گذارد، می‌تواند امکان افزایش اختیارات و تصاحب پلتفرم را فراهم کند.

اساساً Cisco UCCE یک پلتفرم خدمات مشتری داخلی است که قادر به پشتیبانی از ۲۴۰۰۰ ایجنت خدمات مشتری با استفاده از کانال‌هایی است که شامل صدای ورودی، صدای خروجی، پاسخ صوتی تعاملی خروجی (IVR) و کانال‌های دیجیتال می‌شود. همچنین یک لوپ ارسال بازخورد از طریق تلفن گویای پس از تماس، ‌ایمیل و نظرسنجی رهگیری وب را ارائه می‌دهد. و گزینه‌های گزارش دهی مختلف برای جمع‌آوری اطلاعات در مورد عملکرد ایجنت برای استفاده در ایجاد معیار‌ها و اطلاع‌رسانی هوش تجاری را در خود جای داده است.

بر اساس گزارش وب سایت محصولات، برخی از کاربران این محصول از جمله T-Mobile USA در میان این کاربران قرار گرفته‌اند.

باگ مورد بحث (CVE-۲۰۲۲-۲۰۶۵۸) بسیار شدید بوده و با امتیاز بحرانی 9.6 از 10 در مقیاس شدت آسیب‌پذیری CVSS، می‌تواند به مهاجمان احراز هویت شده و از راه دور اجازه دهد تا اختیارات خود را با توانایی ایجاد حساب جدید ادمین، افزایش دهند.

این به طور خاص در اینترفیس مدیریت مبتنی بر وب پورتال مدیریت مرکز تماس واحد Cisco (Unified CCMP) و Cisco Unified Contact Center Domain Manager (Unified CCDM) وجود دارد و از این اصل ناشی می‌شود که سرور به مکانیزم‌های احراز هویت که توسط کلاینت اداره می‌شود، تکیه می‌کند. این مسأله در را به روی مهاجمی باز می‌کند تا رفتار سمت کلاینت را برای دور زدن مکانیسم‌های حفاظتی دنبال کند.

مشخصاً CCMP یک ابزار مدیریتی است که به سوپروایزر مرکز تماس این امکان را می‌دهد تا عواملی را که در مناطق مختلف مرکز تماس کار می‌کنند، بین صف‌های تماس، مارک‌ها، خطوط محصول و موارد دیگر جابجا کنند، اضافه کنند و تغییر دهند. CCDM مجموعه‌ای از اجزای سرور برای مدیریت پشتیبان (back-end)، از جمله احراز هویت و سایر عملکرد‌های امنیتی، تخصیص منابع و پایگاه داده‌ای است که اطلاعات مربوط به همه منابع (مانند ایجنت‌ها و شماره‌های شماره‌گیری شده) و اقدامات انجام شده (مانند تماس‌های تلفنی و تغییر وضعیت ایجنت) را در سیستم در خود نگه می‌دارد.

سیسکو هشدار داد که با داشتن حساب‌های ادمین اضافی، مهاجمان می‌توانند به منابع تلفن و کاربر در تمام پلتفرم‌هایی که به سیسکو Unified CCMP که آسیب‌پذیر است، مرتبط هستند دسترسی پیدا کرده و آن‌ها را تغییر دهند. می‌توان این را بدون ذکر آسیبی که می‌توان با دسترسی به مجموعه داده‌های اطلاعات شخصی مشتریان، از جمله ارتباطات تلفنی و‌ ایمیلی که سیستم باید در اختیار شرکت‌ها قرار دهد، وارد آورد، به تخریب عملیاتی و هویت برندی را که مهاجم می‌تواند با تخریب کردن سیستم‌های خدمات مشتری یک شرکت بزرگ ایجاد کند را تعبیر کرد.

استفاده از آن نیز سخت نیست: سیسکو در توصیه نامه امنیتی در این هفته توضیح داد: «این آسیب‌پذیری به دلیل عدم اعتبارسنجی سمت سرور مجوز‌های یوزر است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP دستکاری شده به یک سیستم آسیب‌پذیر از این آسیب‌پذیری سواستفاده کند».

با این حال، برای بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری، مهاجمان به اعتبارنامه‌های معتبر «advanced user» نیاز دارند، بنابراین این اشکال برای دسترسی اولیه باید با آسیب‌پذیری دیگر مرتبط و متصل شود.

پچ‌هایی برای این مشکل وجود دارد، اما راه حل اساسی این مشکل نیستند. اطلاعات پچ به شرح زیر است:

نسخه های 11.6.1 و نسخه های قبلی: نسخه ثابت 11.6.1 ES17 است.
نسخه 12.0.1: نسخه ثابت 12.0.1 ES5 است.
نسخه 12.5.1: نسخه ثابت 12.5.1 ES5 است.
نسخه 12.6.1: تحت تأثیر قرار نمی گیرد.

به گفته این غول شبکه، تاکنون هیچ سواستفاده عمومی شناخته شده‌ای از این آسیب‌پذیری مشاهده نشده است.

راه‌حل‌های مرکز تماس سیسکو قبلاً با اشکالات مهمی روبرو بوده است. به عنوان مثال، در سال ۲۰۲۰ یک اشکال مهم در پلتفرم «مرکز تماس in-a-box»، Unified Contact Center Express، یافت شد که امکان اجرای کد از راه دور را فراهم می‌کرد.

بیشتر بخوانید

تاثیر باگ جدید KCodes NetUSB بر میلیون ها روتر شرکت‌های مختلف

محققان امنیت سایبری یک نقص با شدت بالا را در کامپوننت KCodes NetUSB که در میلیون‌ها دستگاه روتر‌اند-یوزر شامل Netgear، TP-Link، Tenda، EDiMAX، D-Link، و Western Digital و غیره مشاهده شده است، افشا کرده‌اند.

اساساً KCodes NetUSB یک ماژول کرنل لینوکس است که دستگاه‌های موجود در شبکه محلی را قادر می‌سازد تا خدمات مبتنی بر USB را از طریق IP ارائه دهند. چاپگر‌ها، هارد درایو‌های اکسترنال و درایو‌های فلش متصل به یک سیستم تعبیه شده مبتنی بر لینوکس (به عنوان مثال، روتر) از طریق شبکه با استفاده از این درایور در دسترس هستند.

طبق گزارشی که سنتینل وان با هکرنیوز به اشتراک گذاشته است، نقص امنیتی CVE-۲۰۲۱-۴۵۶۰۸ (امتیاز CVSS: 9.8)، از آنجایی که تحت عنوان یک آسیب‌پذیری سرریز بافر معرفی می‌شود، در صورت سواستفاده موفقیت‌آمیز، می‌تواند به مهاجمان اجازه دهد تا کد را از راه دور در کرنل اجرا کنند و فعالیت‌های مخرب دلخواه خود را انجام دهند.

این آخرین مورد از یک رشته آسیب‌پذیری NetUSB است که در سال‌های اخیر پچ شده است. در می‌ ۲۰۱۵، محققان SEC Consult نقص دیگری در سرریز بافر (CVE-۲۰۱۵-۳۰۳۶) را فاش کردند که می‌تواند منجر به حمله denial-of-service (DoS) یا اجرای کد شود.

سپس در ژوئن ۲۰۱۹، سیسکو تالوس جزئیات دو نقطه ضعف در NetUSB (CVE-۲۰۱۹-۵۰۱۶ و CVE-۲۰۱۹-۵۰۱۷) را فاش کرد که به مهاجم اجازه می‌دهند به‌طور نامطلوبی روتر‌های بی‌سیم Netgear را مجبور به افشای اطلاعات حساس کند و حتی به مهاجم امکان اجرای کد از راه دور را بدهد.

پس از افشای مسئولانه این آسیب‌پذیری‌ها به KCodes در ۲۰ سپتامبر ۲۰۲۱، شرکت تایوانی در ۱۹ نوامبر پچی برای همه تأمین‌کنندگان صادر کرد و پس از آن Netgear بروزرسانی‌های فریمور حاوی اصلاحات آسیب‌پذیری را منتشر نمود.

سنتینل وان از انتشار کد proof-of-concept (PoC) با توجه به این نکته که سایر فروشندگان هنوز در حال ارائه بروزرسانی هستند، خودداری کرده است. اما این شرکت امنیت سایبری به احتمال ظهور یک سواستفاده در فضای سایبری با وجود پیچیدگی فنی مربوطه هشدار داد، و این نکته را خاطر نشان کرد که ضروری است کاربران برای کاهش هر گونه خطر احتمالی، راه‌حل‌های امنیتی را اعمال کنند.

مکس ون آمرونگن، محقق امنیت سایبری، گفت: «از آنجایی که این آسیب‌پذیری در یک کامپوننت شخص ثالث است که مجوز تأمین‌کنندگان مختلف روتر را دارد، تنها راه برای رفع این مشکل، بروزرسانی فریمور روتر در صورت وجود بروزرسانی است. البته مهم است که ابتدا بررسی شود که روتر مد نظر یک مدل از رده خارج نباشد، زیرا بعید است که بروزرسانی برای این آسیب‌پذیری را بتواند دریافت کند».

بیشتر بخوانید