هجوم هکرها به سرورهای آسیب‌پذیر Citrix برای نصب باج‌افزارها

گروه هکری سازنده باج‌افزار REvil، از باگ موجود در سرورهای Citrix به منظور آلوده کردن سیستم‌های قربانیان خود استفاده می­ کنند.

شبکه شرکت‌هایی که هنوز از سرورهای وصله نشده Citrix استفاده می‌کنند، همچنان در معرض خطر آلوده شدن به این باج‌افزار قرار دارند. چندین منبع خبری در انجمن infosec گزارش داده ­اند که این گروه هکری از آسیب‌پذیری CVE-2019-19781 در تجهیزات Citrix برای نفوذ به شبکه‌های سازمانی و نصب باج‌افزار استفاده می ­کند.

 

تأیید آلودگی‌های REvil

محققان امنیتی شرکت‌های FireEye و Under the Breach آلودگی‌های باج‌افزاری که منشأ آن ها سرورهای Citrix بودند را تأیید کردند.

گروه (REvil (Sodinokibi به عنوان یکی از گروه‌هایی که به سرورهای Citrix حمله کرده ­اند، شناخته می­ شود. هدف از حمله آن ها به این سرورها پیدا کردن امکان دسترسی به شبکه‌های سازمانی و سپس نصب باج‌افزار مخصوص به این گروه بوده است. محققان امنیتی Under the Breach اعلام کرده اند که: «ما فایل‌هایی را که گروه REvil پس از خودداری شرکت Gedia برای پرداخت باج منتشر کرده بودند، بررسی کردیم. نکته جالبی که کشف شد این بود که قطعاً این هک با سوءاستفاده از آسیب‌پذیری Citrix صورت گرفته است».

اخیراً شایعه ­هایی منتشر شده مبنی بر این که گروه تولید کننده باج‌افزار Maze هم در حال هدف گرفتن سرورهای Citrix است. با این حال، حمله به سرورهای سازمانی روش همیشگی مورد استفاده گروه REvil است. پیش از این نیز همین گروه از آسیب‌پذیری‌های وی‌پی‌ان‌های Pulse Secure برای نفوذ به شبکه شرکت ­ها و نصب باج‌افزار خودشان استفاده کرده بودند.

پس از انتشار این مطلب، شرکت FireEye در یک پست وبلاگی توضیح داده که یک گروه دیگر هم از باگ Citrix برای آلوده کردن سیستم‌های مورد نظر خود به باج‌افزار Ragnarok استفاده کرده است.

 

انتشار گسترده وصله Citrix

هکرها پیش از اجرای این حملات، کل اینترنت را برای پیدا کردن تجهیزات Citrix که در برابر آسیب‌پذیری CVE-2019-19781 ایمن­ سازی نشده بودند، اسکن کردند.

دستگاه‌های آسیب‌پذیر در برابر این حملات عبارتند از کنترل­گر تحویل برنامه کاربردی (Citrix (ADC، درگاه Citrix و دو نسخه قدیمی‌تر از Citrix SD-WAN WANOP.

این آسیب‌پذیری در اواسط ماه دسامبر سال میلادی گذشته شناسایی شد اما حملات گسترده آن از 11 ژانویه امسال آغاز شده است؛ پس از آن که کد مربوط به اثبات مفهومی اکسپلویت این آسیب‌پذیری در فضای آنلاین منتشر شده و در دسترس همگان قرار گرفت.

در ابتدا، وصله ­ای برای اصلاح آسیب‌پذیری CVE-2019-19781 منتشر نشده بود و شرکت Citrix نیز صرفاً چند نکته امنیتی را برای کاهش مخاطره به مالکان سرورها توصیه کرده بود.

باید توجه داشت که این نکات، همیشه تأثیر لازم را نداشته و برخی از شرکت­ ها هنوز هم موفق به پیاده­ سازی آن ها نشده ­اند. با توجه به انتشار عمومی کد اثبات مفهومی این آسیب‌پذیری، در سال‌های اخیر شاهد افزایش حمله به سرورهای Citrix خواهیم بود.

با این وجود، خبر خوب این که شرکت Citrix کار انتشار وصله برای تمامی نسخه‌های آسیب‌پذیر را به پایان رسانده است. در نتیجه شرکت‌ها می‌توانند با نصب جدیدترین نسخه از میان‌افزار Citrix، سرورهای خودشان را ایمن ­سازی کنند.

 

پیشروی فرایند اصلاح آسیب‌پذیری

در حال حاضر به نظر می‌رسد که فرایند وصله به خوبی پیش می‌رود. در ماه دسامبر، تعداد سیستم‌های آسیب‌پذیر 80 هزار عدد تخمین زده می‌شد. این عدد در اواسط ماه ژانویه به 25 هزار عدد رسید و به تازگی نیز به 11 هزار عدد رسیده است.

شرکت‌های FireEye و Citrix با همکاری هم ابزاری ساخته­ اند که مالکان سرورهای Citrix می‌توانند قبل از اعمال وصله، با اجرای آن بررسی کنند که آیا تجهیزات آن ها با آسیب‌پذیری CVE-2019-19781 هک شده‌اند یا خیر.

اگر خطر حملات باج‌افزاری از نظر برخی شرکت‌ها به اندازه‌ای نیست که آن ها را متقاعد به اعمال وصله‌های CVE-2019-19781 کند، این شرکت‌ها باید توجه داشته باشند که طبق عکس­ های منتشر شده توسط محققان Under the Breach، در حال حاضر برخی مجرمین به دنبال نفوذ به سرورهای Citrix و فروش اطلاعات ورود و دسترسی به شبکه‌های سازمانی در انجمن‌های هک زیرزمینی هستند.