خطرناک ترین آسیب پذیری هایی که توسط باج افزارها اکسپلویت شدند!

0 62

فهرست

باج افزارها

باج افزارها سالانه خسارات زیادی به سازمان های مختلف وارد می کنند. بر اساس گزارشی از کمپانی نیوزلندی امزی سافت (Emsisoft) در سال ۲۰۲۰، سازمان ها و کاربران خانگی در مجموع ۱۸ بیلیون دلار باج به گنگ های باج افزار پرداخت کرده اند. باج افزارها دائما در حال بهبود در عملکرد و تکنیک های اغوا کردن مکانیزم های امنیتی همچون آنتی ویروس ها هستند اما یکی از مولفه های شیرین در یک سازمان برای گنگ های باج افزار، وجود محصولات بروز نشده (احتمالا وصله یا Patch نشده) در سازمان ها و سیستم های کابران عادی می باشد. اگر محصول وصله نشده ای در یک سازمان یا سیستمی وجود داشته باشد با استفاده از تکنیک های عمدتا ساده می توان به آن ها پی برد و از آن ها سوءاستفاده کرد. در این مقاله خطرناک ترین آسیب پذیری ها در محصولات مختلف مورد استفاده سازمان ها و کاربران را معرفی می کنیم که به طور وسیع هدف گنگ های باج افزار برای اکسپلویت قرار گرفته اند.

CVE-2019-19781

این آسیب پذیری در محصولات شرکت سیتریکس (Citrix) منجر به اجرای کد دلخواه یا Arbitrary Code Execution  می شود. این آسیب پذیری در دسامبر سال ۲۰۱۹ کشف و در ژانویه سال ۲۰۲۰ وصله شد. مهاجمان از این آسیب پذیری برای نقطه ی ورود و محور (Pivot) کردن برای استفاده از سایر آسیب پذیری های در سیستم عامل ویندوز استفاده می کنند. بعضی از باج افزارها که از این آسیب پذیری استفاده کردند عبارتند از:

  • Sodinokibi/REvil
  • Ragnarok
  • DopplePaymer
  • Maze
  • CLOP
  • Nephilim

اگر از محصولات این شرکت استفاده می کنید این اسکنر شرکت FireEye را دریافت کرده و مطمئن شوید که محصولی که استفاده می کنید دارای آسیب پذیری فوق نباشد.

CVE-2019-11510

این آسیب پذیری در محصولات شرکت پالس (Pulse Secure) منجر به خواندن فایل دلخواه یا Arbitrary File Reading  می شود. با شیوع کوید ۱۹ یا کروناویروس بسیاری از کسب و کارها مجبور به استفاده از مکانیزم های ارتباط از راه دور به طور امن برای کارمندان شدند. بطور کلی اپیدمی اخیر منجر به دورکاری در بسیاری از سازمان ها و شرکت ها شد و همین موضوع متقاضیان استفاده از VPN‌ را چند برابر کرد. شرکت پالس یکی از معروف ترین و خوشنام ترین شرکت های ارائه دهنده VPN می باشد که در اپیدمی اخیر بسیاری از سازمان ها و شرکت ها اقدام به دریافت سرویس از این شرکت کردند. مایکروسافت خبری در رابطه با بروز حمله ی باج افزار REvil یا Sodinokibi به شبکه Microsoft Student Partner (MSP) منتشر کرد که گنگ مورد نظر اسناد و موارد جذاب برای دانشجویان را به سرقت برده و به آن ها فروخته است. این آسیب پذیری همچنین منجر به فاش شدن بیش از ۹۰۰ سرور VPN سازمانی شد. بعدا باج افزار Black Kingdom نیز با استفاده از این آسیب پذیری حمله ای طراحی کرد که یک کار مجاز برای گوگل کروم را جعل می کرد.

CVE-2018-13379

این آسیب پذیری در FortiOS SSL شرکت فورتینت (Fortinet) منجر به پیمایش مسیر یا Path Traversal می شود. یک مهاجم می تواند به صورت غیر مجاز فایل های سیستمی FortiOS را دانلود کند. این عمل به مهاجم توانایی کرک سخت افزارهای باز و گرفتن دسترسی اپلیه به سیستم را می دهد. دسترسی به فایل sslvpn_websesion که شامل نام کاربری و کلمه عبور به صورت فاش می باشد دسترسی به شبکه را فراهم می کند.

باج افزار Cring یکی از باج افزارهایی است که به طور گسترده از این آسیب پذیری استفاده می کند.

CVE-2020-1472

این آسیب پذیری در Netlogon شرکت مایکروسافت (Microsoft) منجر به ارتقاء دسترسی یا Privilege Escalation می شود. این اسیب پذیری یکی از آسیب پذیری های بسیار خطرناک می باشد که از Zerologon استفاده می کند. یک مهاجم با یک دسترسی عادی به شبکه می تواند Active Directory و کلیه سرویس های آن را در اختیار بگیرد.

گنگ مربوط به باج افزار Ryuk در کمتر از ۵ ساعت این آسیب پذیری را اکسپلویت کردند.

دیگر آسیب پذیری ها

کمپانیCVEنوع
F5- Big IPCVE-2020-5902اجرای کد از راه دور یا RCE
MobileIronCVE-2020-15505اجرای کد از راه دور یا RCE
MicrosoftCVE-2017-11882اجرای کد از راه دور یا RCE
AtlassianCVE-2019-11580اجرای کد از راه دور یا RCE
DrupalCVE-2018-7600اجرای کد از راه دور یا RCE
TelerikCVE-2019-18935اجرای کد از راه دور یا RCE
MicrosoftCVE-2019-0604اجرای کد از راه دور یا RCE
MicrosoftCVE-2020-0787ارتقاء دسترسی یا Privilege Escalation

مراقب این آسیب پذیری های جدید باشید!

در این بخش تعدادی آسیب پذیری مربوط به سال ۲۰۲۱ را معرفی می کنیم که باید شدیدا مراقب آن ها بود چرا که تعدادی از آن ها مورد توجه گنگ های باج افزار و کمپین های APT قرار گرفته اند.

  • اجرای کد از راه دور یا Remote Code Execution (RCE) در Microsoft Exchange:
    • CVE-2021-26855
    • CVE-2021-26857
    • CVE-2021-26858
    • CVE-2021-27065
  • اجرای کد از راه دور یا Remote Code Execution (RCE) در Pulse Secure:
    • CVE-2021-22893
    • CVE-2021-22894 (سرریز بافر و اجرای کد از راه دور با دسترسی Root)
  • تزریق فرمان یا Command Injection در Pulse Secure:
    • CVE-2021-22899
  • بارگذاری محدود نشده یا Unrestricted Upload در Pulse Secure:
    • CVE-2021-22900
  • تزریق SQL یا SQL Injection در Accellion:
    • CVE-2021-27101 (با استفاده از Host Header Injection)
  • تزریق فرمان یا Command Injection در Accellion:
    • CVE-2021-27102 (ترزیق فرمانی سیستمی یا OS Command Injection با استفاده از فراخوانی وب سرویس محلی)
    • CVE-2021-27104 (درخواست POST با Header دستکاری شده)
  • جعل درخواست سمت سرور یا Server Side Request Forgery (SSRF) در Accellion:
    • CVE-2021-27103
  • اجرای کد از راه دور یا Remote Code Execution (RCE) در VMware:
    • CVE-2021-21985 (آسیب پذیری در vSphere Client که روش اکسپلویت خیلی هیجان انگیزی دارد!)

بروزرسانی کنید!

اگر دقت کنیم تعدادی از خطرناک ترین آسیب پذیری ها که تحت اکسپلویت فعال هستند مربوط به چندین سال پیش هستند (مثلا CVE-2018-13379). بسیاری از سیستم ها در سازمان ها یا سیستم های کاربران خانگی میزبان محصولات بروز نشده هستند. در بروزرسانی باید تمامی سیستم های یک شبکه را در نظر گرفت چرا که اگر یکی از سیستم ها دارای محصول آسیب پذیر یا وصله نشده باشه می تواند به عنوان محور یا Pivot برای دسترسی به سایر سیستم ها قرار گیرد. پس مکررا بروزرسانی کنید!

سخن پایانی

در این مقاله تعدادی از خطرناک ترین آسیب پذیری ها در محصولات شرکت های معروف که نظر گنگ های باج افزار و کمپین های APT را به خود جلب کرده اند را معرفی کردیم. آسیب پذیری های مربوط به سال ۲۰۲۱ بسیار حائز اهمیت هستند و باید به آن ها توجه کرد. بسیاری از آسیب پذیری ها مربوط به چندین سال گذشته هستند و هنوز برخی کاربران از نسخه های آسیب پذیر چندین سال پیش استفاده می کنند. در کنار افزایش آگاهی از تکنیک های مختلف مثل فیشینگ باید در بروزرسانی سیستم ها دقت و عجله کرد.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ