2 آسیب پذیری با درجه بندی شدت 9.8 تحت بهره برداری قرار دارند. 3 بافندگی


2 آسیب پذیری با درجه بندی شدت 9.8 تحت بهره برداری قرار دارند.  3 بافندگی

گتی ایماژ

هکرهای مخرب، که برخی گمان می‌رود توسط دولت پشتیبانی می‌شوند، فعالانه از دو آسیب‌پذیری نامرتبط – هر دو با درجه‌بندی شدت 9.8 از 10 ممکن – بهره‌برداری می‌کنند تا بتوانند شبکه‌های حساس سازمانی را با درهای پشتی، نرم‌افزار بات‌نت و سایر اشکال بدافزار آلوده کنند.

به گفته محققان امنیتی، حملات در حال انجام، نسخه های اصلاح نشده چندین خط تولید از VMware و نرم افزار BIG-IP از F5 را هدف قرار می دهند. هر دو آسیب‌پذیری به مهاجمان این امکان را می‌دهند که از راه دور کدهای مخرب یا دستوراتی را که با امتیازات سیستم ریشه بدون محدودیت اجرا می‌شوند، اجرا کنند. به نظر می رسد سوء استفاده های عمدتاً ناهماهنگ، مخرب هستند، برخلاف اسکن های خوش خیم که سعی در شناسایی سرورهای آسیب پذیر و تعیین کمیت آنها دارند.

اول: VMware

در 6 آوریل، VMware یک آسیب‌پذیری اجرای کد از راه دور را که به‌عنوان CVE-2022-22954 ردیابی شده بود و یک نقص افزایش امتیاز که به‌عنوان CVE-2022-22960 ردیابی شده بود، فاش و اصلاح کرد. بر اساس توصیه‌ای که روز چهارشنبه توسط آژانس امنیت سایبری و امنیت زیرساخت منتشر شد، “عوامل سایبری مخرب توانستند به‌روزرسانی‌ها را برای توسعه یک اکسپلویت در عرض 48 ساعت مهندسی معکوس کنند و به سرعت شروع به سوء استفاده از آسیب‌پذیری‌های فاش شده در دستگاه‌های وصله‌نشده کردند.”

CISA گفت که این بازیگران احتمالاً بخشی از یک تهدید دائمی پیشرفته هستند، اصطلاحی برای گروه‌های هکر پیچیده و دارای بودجه خوب که معمولاً توسط یک دولت-ملت حمایت می‌شوند. هنگامی که هکرها دستگاهی را به خطر انداختند، از دسترسی ریشه خود برای نصب پوسته وب معروف به دینگو J-spy در شبکه های حداقل سه سازمان استفاده می کنند.

«طبق گزارش‌های شخص ثالث قابل اعتماد، عوامل تهدید ممکن است این آسیب‌پذیری‌ها را به زنجیر بکشند. در یک سازمان در معرض خطر، در یا حوالی 12 آوریل 2022، یک بازیگر تایید نشده با دسترسی شبکه به رابط وب، از CVE-2022-22954 برای اجرای یک فرمان پوسته دلخواه به عنوان کاربر VMware استفاده کرد. سپس بازیگر از CVE-2022-22960 برای افزایش امتیازات کاربر برای روت کردن استفاده کرد. با دسترسی ریشه، بازیگر می‌تواند لاگ‌ها را پاک کند، مجوزها را افزایش دهد و به سمت سیستم‌های دیگر حرکت کند.

تروی مورش، محقق مستقل امنیتی، در پیامی مستقیم گفت که سوء استفاده‌هایی که در یک هانی‌پات دستگیر شده است، شامل محموله‌هایی برای نرم‌افزار بات‌نت، پوسته‌های وب و استخراج‌کننده‌های رمزنگاری است. مشاوره CISA در همان روزی منتشر شد که VMware دو آسیب‌پذیری جدید را فاش کرد و اصلاح کرد. یکی از آسیب‌پذیری‌ها، CVE-2022-22972، همچنین دارای درجه‌بندی شدت 9.8 است. دیگری، CVE-2022-22973، دارای امتیاز 7.8 است.

با توجه به سوء استفاده‌هایی که در ماه گذشته برای آسیب‌پذیری‌های VMware رفع شده بود، CISA گفت: «انتظار دارد بازیگران سایبری مخرب به سرعت توانایی سوء استفاده از آسیب‌پذیری‌های جدید منتشر شده CVE-2022-22972 و CVE-2022-22973 را در همان محصولات تحت تأثیر VM ایجاد کنند.

BIG-IP نیز زیر آتش

در همین حال، شبکه‌های سازمانی نیز مورد حمله هکرهایی قرار می‌گیرند که از CVE-2022-1388 استفاده می‌کنند، یک آسیب‌پذیری نامرتبط با رتبه‌بندی شدت 9.8 که در BIG-IP، یک بسته نرم‌افزاری از F5 یافت می‌شود. نه روز پیش، این شرکت این آسیب‌پذیری را فاش کرد و وصله کرد، که هکرها می‌توانند از آن برای اجرای دستوراتی که با امتیازات سیستم ریشه اجرا می‌شوند، سوء استفاده کنند. گستره و بزرگی این آسیب‌پذیری باعث شگفتی و شوک در برخی از محافل امنیتی شد و امتیاز بالایی را برای آن به ارمغان آورد.

ظرف چند روز، کد اکسپلویت در دسترس عموم قرار گرفت و تقریباً بلافاصله پس از آن، محققان تلاش‌هایی را برای بهره‌برداری گزارش کردند. در آن زمان مشخص نبود که آیا کلاه سیاه یا کلاه سفید این فعالیت را انجام داده اند.

با این حال، در روزهای اخیر، محققان هزاران درخواست مخرب را ضبط کردند که نشان می‌دهد بخش قابل توجهی از سوء استفاده‌ها برای اهداف شوم استفاده می‌شوند. محققان شرکت امنیتی Greynoise در ایمیلی نوشتند:

با توجه به اینکه درخواست‌های مربوط به این اکسپلویت به درخواست POST نیاز دارند و منجر به یک پوسته فرمان غیرقابل تأیید در دستگاه F5 Big-IP می‌شوند، ما بازیگرانی را که از این اکسپلویت استفاده می‌کنند به عنوان مخرب طبقه‌بندی کرده‌ایم. ما بازیگرانی را مشاهده کرده‌ایم که از این سوء استفاده از طریق سرویس‌های ناشناس مانند VPN یا گره‌های خروج TOR علاوه بر ارائه‌دهندگان VPS اینترنتی شناخته شده استفاده می‌کنند.

ما انتظار داریم بازیگرانی که تلاش می‌کنند دستگاه‌های آسیب‌پذیر را پیدا کنند تا از تکنیک‌های غیرتهاجمی استفاده کنند که شامل درخواست POST یا منجر به یک پوسته فرمان نمی‌شود، که در برچسب ما برای خزنده‌های بزرگ IP F5 فهرست‌بندی شده است: https://viz.greynoise.io/tag/f5-big-ip-خزنده این تگ خزنده افزایش ترافیک مرتبط با انتشار CVE-2022-1388 را تجربه کرد.

مورش گفت که اکسپلویت‌های BIG-IP تلاش می‌کنند تا همان سه پوسته وب، بدافزار برای انجام حملات انکار سرویس توزیع‌شده و cryptominers که در حملات به ماشین‌های VMware وصله‌نشده مشاهده می‌شوند، نصب کنند. برای مثال، تصویر زیر حمله‌ای را نشان می‌دهد که تلاش می‌کند بدافزار DDoS شناخته شده را نصب کند.

تروی مورش

سه تصویر زیر هکرها را نشان می‌دهد که از این آسیب‌پذیری برای اجرای دستوراتی برای یافتن کلیدهای رمزگذاری و دیگر انواع داده‌های حساس ذخیره‌شده در یک سرور آسیب‌دیده استفاده می‌کنند.

تروی مورش

تروی مورش

تروی مورش

با توجه به تهدید ناشی از باج‌افزارها و کمپین‌های هک دولت‌های ملی مانند مواردی که علیه مشتریان SolarWinds و مایکروسافت استفاده می‌شوند، آسیب‌های احتمالی ناشی از این آسیب‌پذیری‌ها قابل توجه است. مدیران باید بررسی این آسیب‌پذیری‌ها را در شبکه‌های خود در اولویت قرار دهند و بر اساس آن اقدام کنند. مشاوره و راهنمایی از CISA، VMware، و F5 در اینجا هستند،
اینجا، اینجا و اینجا