سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید

بدافزاری که از طریق بسته بارگذاری ویندوز ۱۱ توزیع می‌شود

بدافزار " ردلاین " برای فریب کاربران ویندوز ۱۰ خود را در قالب بسته نصب ویندوز ۱۱ جا می‌زند و از همین رو موفق به توزیع گسترده خود شده است.

به گزارش زد دی نت، کارشناسان امنیتی هشدار می‌دهند که ردلاین بدافزار چندان پیچیده‌ای نیست، اما در فضای مجازی و از طریق شبکه‌های زیرزمینی در قالب خدمات ماهانه با هزینه ۱۵۰ دلار فروخته می‌شود و از آن برای سرقت ارزرمز سایر کاربران مانند بیت کوین یا اتریوم استفاده می‌شود.

سارقان از روش‌های مختلفی برای اقناع کاربران به منظور بارگذاری این بدافزار استفاده می‌کنند و بررسی‌های شرکت اچ پی نشان می‌دهد که معمولاً این بدافزار در قالب بسته به روزرسان ویندوز ۱۱ توزیع شده و کاربران رایانه‌های شخصی و به خصوص ویندوز ۱۰ به همین شیوه برای بارگذاری و نصب آن اقناع می‌شوند.

طراحان این بدافزار برای افزایش احتمال بارگذاری و نصب بدافزار مذکور دامنه‌های تقلبی را نیز ثبت کرده‌اند که در آنها سایت‌هایی مشابه با سایت مایکروسافت طراحی شده و بدافزار مذکور در قالب بسته نصب ویندوز ۱۱ در دسترس است.

نام دامنه صفحه ارتقای جعلی ویندوز ۱۱ توسط یک فرد روس ثبت شده است. در عین حال صفحه اصلی ارتقا ویندوز ۱۱ مایکروسافت در دامنه Microsoft.com میزبانی می‌شود. هدف این بدافزار سرقت رمزهای عبور ذخیره شده در مرورگرهای وب، داده‌های تکمیل شونده به صورت خودکار مانند اطلاعات کارت اعتباری و همچنین فایل‌های ارزها و کیف پول دیجیتال است.

بیشتر بخوانید

استفاده هکرهای ایرانی از Backdoor جدید Marlin در کمپین جاسوسی «Out to Sea»

به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

بیشتر بخوانید

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید

آسیب‌های جبران‌ناپذیر جرایم سایبری خارج از کنترل در دنیای واقعی

باج‌افزار‌ها و حملات آنلاین می‌توانند منجر به عواقب مرگبار در دنیای واقعی شوند. دولت‌ها باید در پاسخ به مشکلات، حضور فعالتری در این عرصه داشته باشند.

در سال ۲۰۲۲، حوادث سایبری باعث اختلال واقعی و پایدار در آسایش روزمره ما خواهد شد که حتی شاید بتواند مردم را به مسیر مرگ بکشاند. این به دلیل پیشرفت ژئوپلیتیکی بزرگی نیست، بلکه به این دلیل است که گروهی از جنایتکاران نیمه پیچیده، سازمان یافته و عمدتاً روسی به طور فزاینده‌ای از کنترل خارج شده‌اند.

چند سالی است که ترکیبی عجیب از هالیوود و مجموعه نظامی_صنعتی به ما می‌گوید که حملات سایبری تهدیدی وجودی برای بشریت است، اما واقعیت چیز دیگری بوده است. آسیب‌های سایبری که توسط افراد مخرب تحمیل می‌شود بسیار جدی است، اما عمدتاً به روش‌های نفوذی و برنده و عمدتاً نامرئی انجام می‌شوند. نزدیک‌ترین مورد، افراد عادی هستند که در مواجهه با «حمله سایبری» یا مقدار کمی پول از دست می‌دهند و یا نامه‌ای از شرکت که با آن تجارت می‌کنند دریافت می‌نمایند که به آن‌ها می‌گویند برخی از داده‌های شخصی که ارزش آن را نمی‌دانند، توسط افرادی در قاره دیگری که هیچکس واقعاً هویت آن‌ها را نمی‌داند، به سرقت رفته است. یک استثنای عجیب وجود دارد (به عنوان مثال، دولت روسیه علاقه زیادی به ضربه زدن به اوکراین دارد) اما برای اکثر مردم در بیشتر کشور‌ها، حملات سایبری چندان مورد توجه قرار نگرفته است.

اما این حالت تغییر خواهد کرد، زیرا مجرمان سایبری به طور فزاینده‌ای به روش‌هایی حمله می‌کنند که عواقب بسیار آسیب‌رسان‌تر و قابل مشاهده‌تری دارند. در نیمه اول سال ۲۰۲۱، اختلال در خط لوله Colonial Pipeline در ایالات متحده باعث خالی شدن دو سوم پمپ بنزین‌ها در کارولینای جنوبی شد که باعث اوجگیری وحشت و تمام خطرات ناشی از آن شد. غذا‌های تازه در مقادیر زیادی در سوئد به این دلیل که مغازه‌های سوپرمارکت کار نمی‌کردند به افراد داده می‌شد. مدارس در نیوزلند و بریتانیا آسیب دیدند. خطرناکتر از همه، مراقبت‌های بهداشتی مورد هدف قرار گرفت. در ماه می‌، کل سرویس بهداشتی ایرلند برای هفته‌ها فلج شد و در طول بهار و تابستان ده‌ها بیمارستان در اروپا و ایالات متحده به دلیل حملات باج‌افزاری از دریافت خدمات سیستم‌های حیاتی محروم شدند.

در ماه ژوئن، حملات سایبری در نشست سالانه کشور‌های G7 در کرنوال در دستور کار قرار گرفت و بسیاری از بزرگان صنعت امنیت سایبری‌ امیدوار بودند که این مسأله همراه با مقابله جو بایدن با ولادیمیر پوتین به دلیل پناه دادن به جنایتکاران در خاک روسیه، جریان را تغییر دهد. با این حال، بعید است که این اتفاق بیفتد، زیرا ما هنوز تقریباً هیچ راهی برای مجازات مجرمان سایبری نداریم.

پس از یک سکون کوتاه مدت، فعالیت باج‌افزار‌ها در سال ۲۰۲۱ ادامه یافت و خطر کمتری را در پی نداشت. علیرغم توجه جهانی به فعالیت‌های آن‌ها، فقدان تحریم‌های قابل قبول، این جرات را به جنایتکاران داده است تا به مراکزی از جمله به مراکز مراقبت از کودکان و بیمارستان‌ها در ایالات متحده و سیستم رزرو واکسن کووید در داخل و اطراف رم حمله کنند. بدتر از آن این است که، توجه سیاسی به این مشکلات سایبری در حال کاهش است.

در آینده‌ای نزدیک، دولت‌ها، بازرسان و محققان باید از خود حضور بیشتری نشان دهند. حملات باج افزار، حملاتی سودآور برای مهاجمین هستند. در سال ۲۰۲۱، گروه هکر‌های DarkSide که خط لوله Colonial Pipeline را غیرفعال کردند، تنها در ۹ ماه حداقل ۹۰ میلیون دلار (۶۶ میلیون پوند) درآمد کسب کردند. Emisoft، یک شرکت امنیت سایبری، مجموع پرداخت باج در سال ۲۰۲۰ را حداقل ۱۸ میلیارد دلار محاسبه کرده است. و این بدان معناست که مهاجمان در مورد ایجاد صدمات فیزیکی واقعی تردید‌های کمتری دارند. هیچ مدرک مستقیمی وجود ندارد که نشان دهد کسی در نتیجه حملات سایبری امسال به بیمارستان‌ها جان خود را از دست داده است. اما جلوگیری از دریافت واکسن توسط افراد همچنان یک عمل خشونت‌آمیز است، حتی اگر از راه دور توسط رایانه انجام شود. در سال ۲۰۲۲، زمانی که آن چهره‌های مخفی که در پشت صفحه نمایش خود پنهان شده‌اند، باعث صدمه یا مرگ واقعی انسان شوند، زمانیست که آسیب بزرگ و فیزیکی از اعمال سایبری بروز پیدا خواهند کرد.

بیشتر بخوانید

آلودگی هزاران کاربر QNAP به باج‌افزار DeadBolt

به گزارش infosecurity magazine ، هزاران کاربر QNAP تأمین‌کننده استوریج متصل به شبکه (NAS)، به یک نوع باج‌افزار جدید آلوده شده‌اند.

مجموعه QNAP که مرکز آن در تایوان است، این هفته گفت که مشتریان و کاربران باید فوراً سیستم‌های خود را به آخرین نسخه سیستم‌عامل‌های QTS ارتقا دهند و برای کاهش مخاطرات این کمپین اقداماتی را برای قطع دستگاه‌ها از اینترنت انجام دهند.

این باج‌افزار جدید که «DeadBolt» نامیده می‌شود، در ازای ارائه یک کلید رمزگشایی، 0.03 بیت‌کوین (۱۱۰۰ دلار) مطالبه می‌کند.

در این اطلاعیه آمده است: “این یک حمله شخصی نیست. شما به دلیل امنیت ناکافی ارائه شده توسط فروشنده خود (QNAP) هدف قرار گرفته اید”.

شرکت اینونتوری Censys هفته گذشته ادعا کرد که حدود ۵۰۰۰ دستگاه از این دست تحت تأثیر این باج‌افزار قرار گرفته‌اند، اگرچه این تعداد، از مجموع ۱۳۰۰۰۰ دستگاه در سراسر جهان می‌باشد.

جالب اینجاست که تأمین‌کننده مشاهده کرده که تعداد آلودگی‌ها به شکل قابل ملاحظه‌ای بین ۲۶ و ۲۷ ژانویه به شدت کاهش یافت.

در این بیانیه آمده است: «در طول شب، تعداد سرویس‌های باج‌افزار DeadBolt حدود ۱۰۶۱ مورد کاهش یافت و به ۳۹۲۷ سرویس آلوده در دسترس اینترنت عمومی رسید».

دلیل دقیق این کاهش در حال حاضر مشخص نیست و ما به نظارت بر وضعیت ادامه می‌دهیم. اما اوایل امروز، Malwarebytes گزارش داد که QNAP یک بروزرسانی خودکار اجباری را برای سیستم عامل مبتنی بر لینوکس خود به نام QTS برای رفع این آسیب‌پذیری منتشر کرده است. این بروزرسانی ظاهراً فایل اجرایی باج‌افزار را حذف کرد و تغییرات اینترفیس وب ایجاد شده توسط باج‌افزار را به حالت قبل باز می‌گرداند.

اخاذی‌ها از QNAP به آن‌ها این فرصت را داده بودند تا معادل ۵۰ بیت کوین (1.8 میلیون دلار) را برای رمزگشایی تمام داده‌های مشتری بپردازند، اما به نظر نمی‌رسد که آن‌ها به این خواسته‌ها تن داده باشند.

بیشتر بخوانید

مایکروسافت : سو استفاده هکرها از باگ جدید SolarWinds Serv-U مرتبط با حملات Log4j

مایکروسافت روز چهارشنبه جزئیات یک آسیب‌پذیری امنیتی جدید در نرم‌افزار SolarWinds Serv-U را فاش کرد که به گفته آن‌ها توسط عوامل تهدید برای انتشار حملات با استفاده از نقص‌های Log4j برای به خطر انداختن اهداف مورد استفاده قرار گرفته است.

مرکز اطلاعات تهدید مایکروسافت (MSTIC) گفت: « این مشکل که تحت عنوان CVE-۲۰۲۱-۳۵۲۴۷ (امتیاز CVSS: 5.3) معرفی می‌شود، یک آسیب‌پذیری اعتبار سنجی ورودی است که می‌تواند به مهاجمان اجازه دهد تا یک کوئری را با توجه به مقداری ورودی بسازند و آن کوئری را بدون بررسی از طریق شبکه ارسال کنند».

این نقص که توسط محقق امنیتی جاناتان بار اور کشف شد، نسخه‌های Serv-U 15.2.5 و قبل از آن را تحت تأثیر قرار می‌دهد و در Serv-U نسخه ۱۵. ۳ مورد بررسی قرار گرفته است.

مجموعه SolarWinds در توصیه امنیتی گفت: «صفحه ورود به وب Serv-U برای احراز هویت LDAP به کاراکتر‌هایی اجازه فعالیت می‌دهد که به حد کافی بررسی و پاکسازی نشده‌اند» و افزود: «مکانیسم ورودی را برای انجام اعتبارسنجی و پاک‌سازی اضافی بروزرسانی کرده است».

سازنده نرم‌افزار مدیریت فناوری اطلاعات همچنین خاطرنشان کرد که “هیچ تأثیر پایین دستی شناسایی نشده است زیرا سرور‌های LDAP کاراکتر‌های نامناسب را ایگنور می‌کنند”. هنوز مشخص نیست که حملات شناسایی شده توسط مایکروسافت صرفاً تلاشی برای سواستفاده از نقص بوده یا در نهایت موفقیت‌آمیز بوده است.

این توسعه در حالی صورت می‌گیرد که چندین عامل تهدید همچنان از نقص‌های Log4Shell برای اسکن انبوه و نفوذ به شبکه‌های آسیب‌پذیر برای استقرار backdoor‌ها، استخراج‌کنندگان رمزارز، باج‌افزار‌ها و shell‌های راه دور استفاده می‌کنند که به فعالیت‌های پس از بهره‌برداری بیشتر، دسترسی دائمی می‌دهند.

محققان Akamai، در تحلیلی که این هفته منتشر شد، همچنین شواهدی مبنی بر سواستفاده از نقص‌ها برای آلوده کردن و کمک به تکثیر بدافزار‌های مورد استفاده توسط بات‌نت Mirai پیدا کرده‌اند.

علاوه بر این، قبلا مشاهده شده بود که یک گروه هکر مستقر در چین از یک آسیب‌پذیری امنیتی حیاتی که SolarWinds Serv-U (CVE-۲۰۲۱-۳۵۲۱۱) را تحت تأثیر قرار می‌دهد برای نصب برنامه‌های مخرب بر روی ماشین‌های آلوده سواستفاده می‌کند.

بیشتر بخوانید

تهدید خدمات مشتری سیسکو با اشکال بحرانی در مرکز ارتباطات سیسکو

مهاجمان می‌توانند به منابع ایجنت، صف تلفن مشتریان و سایر سیستم‌های خدمات مشتری دسترسی داشته باشند و آن‌ها را تغییر دهند و همچنین به اطلاعات شخصی مشتریان شرکت‌ها دسترسی داشته باشند.

یک باگ امنیتی حیاتی که بر پورتفولیوی Unified Contact Center Enterprise (UCCE) سیسکو تأثیر می‌گذارد، می‌تواند امکان افزایش اختیارات و تصاحب پلتفرم را فراهم کند.

اساساً Cisco UCCE یک پلتفرم خدمات مشتری داخلی است که قادر به پشتیبانی از ۲۴۰۰۰ ایجنت خدمات مشتری با استفاده از کانال‌هایی است که شامل صدای ورودی، صدای خروجی، پاسخ صوتی تعاملی خروجی (IVR) و کانال‌های دیجیتال می‌شود. همچنین یک لوپ ارسال بازخورد از طریق تلفن گویای پس از تماس، ‌ایمیل و نظرسنجی رهگیری وب را ارائه می‌دهد. و گزینه‌های گزارش دهی مختلف برای جمع‌آوری اطلاعات در مورد عملکرد ایجنت برای استفاده در ایجاد معیار‌ها و اطلاع‌رسانی هوش تجاری را در خود جای داده است.

بر اساس گزارش وب سایت محصولات، برخی از کاربران این محصول از جمله T-Mobile USA در میان این کاربران قرار گرفته‌اند.

باگ مورد بحث (CVE-۲۰۲۲-۲۰۶۵۸) بسیار شدید بوده و با امتیاز بحرانی 9.6 از 10 در مقیاس شدت آسیب‌پذیری CVSS، می‌تواند به مهاجمان احراز هویت شده و از راه دور اجازه دهد تا اختیارات خود را با توانایی ایجاد حساب جدید ادمین، افزایش دهند.

این به طور خاص در اینترفیس مدیریت مبتنی بر وب پورتال مدیریت مرکز تماس واحد Cisco (Unified CCMP) و Cisco Unified Contact Center Domain Manager (Unified CCDM) وجود دارد و از این اصل ناشی می‌شود که سرور به مکانیزم‌های احراز هویت که توسط کلاینت اداره می‌شود، تکیه می‌کند. این مسأله در را به روی مهاجمی باز می‌کند تا رفتار سمت کلاینت را برای دور زدن مکانیسم‌های حفاظتی دنبال کند.

مشخصاً CCMP یک ابزار مدیریتی است که به سوپروایزر مرکز تماس این امکان را می‌دهد تا عواملی را که در مناطق مختلف مرکز تماس کار می‌کنند، بین صف‌های تماس، مارک‌ها، خطوط محصول و موارد دیگر جابجا کنند، اضافه کنند و تغییر دهند. CCDM مجموعه‌ای از اجزای سرور برای مدیریت پشتیبان (back-end)، از جمله احراز هویت و سایر عملکرد‌های امنیتی، تخصیص منابع و پایگاه داده‌ای است که اطلاعات مربوط به همه منابع (مانند ایجنت‌ها و شماره‌های شماره‌گیری شده) و اقدامات انجام شده (مانند تماس‌های تلفنی و تغییر وضعیت ایجنت) را در سیستم در خود نگه می‌دارد.

سیسکو هشدار داد که با داشتن حساب‌های ادمین اضافی، مهاجمان می‌توانند به منابع تلفن و کاربر در تمام پلتفرم‌هایی که به سیسکو Unified CCMP که آسیب‌پذیر است، مرتبط هستند دسترسی پیدا کرده و آن‌ها را تغییر دهند. می‌توان این را بدون ذکر آسیبی که می‌توان با دسترسی به مجموعه داده‌های اطلاعات شخصی مشتریان، از جمله ارتباطات تلفنی و‌ ایمیلی که سیستم باید در اختیار شرکت‌ها قرار دهد، وارد آورد، به تخریب عملیاتی و هویت برندی را که مهاجم می‌تواند با تخریب کردن سیستم‌های خدمات مشتری یک شرکت بزرگ ایجاد کند را تعبیر کرد.

استفاده از آن نیز سخت نیست: سیسکو در توصیه نامه امنیتی در این هفته توضیح داد: «این آسیب‌پذیری به دلیل عدم اعتبارسنجی سمت سرور مجوز‌های یوزر است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP دستکاری شده به یک سیستم آسیب‌پذیر از این آسیب‌پذیری سواستفاده کند».

با این حال، برای بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری، مهاجمان به اعتبارنامه‌های معتبر «advanced user» نیاز دارند، بنابراین این اشکال برای دسترسی اولیه باید با آسیب‌پذیری دیگر مرتبط و متصل شود.

پچ‌هایی برای این مشکل وجود دارد، اما راه حل اساسی این مشکل نیستند. اطلاعات پچ به شرح زیر است:

نسخه های 11.6.1 و نسخه های قبلی: نسخه ثابت 11.6.1 ES17 است.
نسخه 12.0.1: نسخه ثابت 12.0.1 ES5 است.
نسخه 12.5.1: نسخه ثابت 12.5.1 ES5 است.
نسخه 12.6.1: تحت تأثیر قرار نمی گیرد.

به گفته این غول شبکه، تاکنون هیچ سواستفاده عمومی شناخته شده‌ای از این آسیب‌پذیری مشاهده نشده است.

راه‌حل‌های مرکز تماس سیسکو قبلاً با اشکالات مهمی روبرو بوده است. به عنوان مثال، در سال ۲۰۲۰ یک اشکال مهم در پلتفرم «مرکز تماس in-a-box»، Unified Contact Center Express، یافت شد که امکان اجرای کد از راه دور را فراهم می‌کرد.

بیشتر بخوانید

تاثیر باگ جدید KCodes NetUSB بر میلیون ها روتر شرکت‌های مختلف

محققان امنیت سایبری یک نقص با شدت بالا را در کامپوننت KCodes NetUSB که در میلیون‌ها دستگاه روتر‌اند-یوزر شامل Netgear، TP-Link، Tenda، EDiMAX، D-Link، و Western Digital و غیره مشاهده شده است، افشا کرده‌اند.

اساساً KCodes NetUSB یک ماژول کرنل لینوکس است که دستگاه‌های موجود در شبکه محلی را قادر می‌سازد تا خدمات مبتنی بر USB را از طریق IP ارائه دهند. چاپگر‌ها، هارد درایو‌های اکسترنال و درایو‌های فلش متصل به یک سیستم تعبیه شده مبتنی بر لینوکس (به عنوان مثال، روتر) از طریق شبکه با استفاده از این درایور در دسترس هستند.

طبق گزارشی که سنتینل وان با هکرنیوز به اشتراک گذاشته است، نقص امنیتی CVE-۲۰۲۱-۴۵۶۰۸ (امتیاز CVSS: 9.8)، از آنجایی که تحت عنوان یک آسیب‌پذیری سرریز بافر معرفی می‌شود، در صورت سواستفاده موفقیت‌آمیز، می‌تواند به مهاجمان اجازه دهد تا کد را از راه دور در کرنل اجرا کنند و فعالیت‌های مخرب دلخواه خود را انجام دهند.

این آخرین مورد از یک رشته آسیب‌پذیری NetUSB است که در سال‌های اخیر پچ شده است. در می‌ ۲۰۱۵، محققان SEC Consult نقص دیگری در سرریز بافر (CVE-۲۰۱۵-۳۰۳۶) را فاش کردند که می‌تواند منجر به حمله denial-of-service (DoS) یا اجرای کد شود.

سپس در ژوئن ۲۰۱۹، سیسکو تالوس جزئیات دو نقطه ضعف در NetUSB (CVE-۲۰۱۹-۵۰۱۶ و CVE-۲۰۱۹-۵۰۱۷) را فاش کرد که به مهاجم اجازه می‌دهند به‌طور نامطلوبی روتر‌های بی‌سیم Netgear را مجبور به افشای اطلاعات حساس کند و حتی به مهاجم امکان اجرای کد از راه دور را بدهد.

پس از افشای مسئولانه این آسیب‌پذیری‌ها به KCodes در ۲۰ سپتامبر ۲۰۲۱، شرکت تایوانی در ۱۹ نوامبر پچی برای همه تأمین‌کنندگان صادر کرد و پس از آن Netgear بروزرسانی‌های فریمور حاوی اصلاحات آسیب‌پذیری را منتشر نمود.

سنتینل وان از انتشار کد proof-of-concept (PoC) با توجه به این نکته که سایر فروشندگان هنوز در حال ارائه بروزرسانی هستند، خودداری کرده است. اما این شرکت امنیت سایبری به احتمال ظهور یک سواستفاده در فضای سایبری با وجود پیچیدگی فنی مربوطه هشدار داد، و این نکته را خاطر نشان کرد که ضروری است کاربران برای کاهش هر گونه خطر احتمالی، راه‌حل‌های امنیتی را اعمال کنند.

مکس ون آمرونگن، محقق امنیت سایبری، گفت: «از آنجایی که این آسیب‌پذیری در یک کامپوننت شخص ثالث است که مجوز تأمین‌کنندگان مختلف روتر را دارد، تنها راه برای رفع این مشکل، بروزرسانی فریمور روتر در صورت وجود بروزرسانی است. البته مهم است که ابتدا بررسی شود که روتر مد نظر یک مدل از رده خارج نباشد، زیرا بعید است که بروزرسانی برای این آسیب‌پذیری را بتواند دریافت کند».

بیشتر بخوانید