خبر

مهمترین اکسپلویت‌های شناسایی شده در سال ۲۰۲۰

محققان امنیتی شرکت Radware، ۹ مورد از اکسپویلت‌های مهم سرویس‌های تحت وب که در سال ۲۰۲۰ از آنها برای انجام حملات در سطح وسیع استفاده شده است را معرفی کردند.

شناسایی این اکسپلویت‌ها توسط مرکز مطالعه تهدیدات سایبری این شرکت انجام شده که ترافیک مخرب و سوءاستفاده از آسیب‌پذیری‌ها را با کمک شبکه‌ای موسوم به “Global Deception Network” تحت نظارت دارد. این شبکه، متشکل از عوامل فریبنده توزیع شده در دارک نت یا ‌هانی‌پات است. وظیفه این مرکز، اجرای سرویس‌هایی است که بات‌ها را با هدف نفوذ، سوءاستفاده، هک سیستم‌های رایانشی، ایجاد بات‌نت‌های جدید و اجرای حملات محروم سازی از سرویس توزیع شده (DDoS) جذب می‌کند.

شبکه فریب این مرکز مطالعاتی، صدها هزار آی‌پی از منابع مخرب را که روزانه میلیون‌ها رویداد مختلف را ایجاد می‌کنند، جذب می‌کند. الگوریتم‌های تحلیل خودکار این شبکه، کار ارایه اطلاعات و دسته بندی انواع مختلف فعالیت‌های مخرب را انجام می‌دهند. در زیر، توضیح مختصری در خصوص هر کدام از این ۹ مورد آمده است.

اکسپلویت شماره یک: /ws/v1/cluster/apps/new-application

حدود ۷۴.۸۵ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

آپاچی هدوپ، اجرای کدهای بدون مجوز از طریق YARN ResourceManager

هدوپ یک چارچوب پردازشی توزیع شده کد منبع باز است که از آن برای مدیریت ذخیره اطلاعات و پردازش داده‌های حجیم برنامه‌های کاربردی که معمولاً در سیستم‌های کلاستری اجرا می‌شوند، استفاده می شود. در اکتبر ۲۰۱۸ میلادی، Radware یک عامل (Agent) مخرب به نام “DemonBot” را شناسایی کرد که برای اجرا بر روی سرورهای آسیب‌پذیر هدوپ طراحی شده بود.

بات اصلی برای اولین بار در سپتامبر ۲۰۱۸ در شبکه Threat Deception این شرکت که در حال تلاش برای اجرای درخواستی در مسیر “/ws/v1/cluster/apps/new-application” بود، شناسایی شد. این اقدام، نخستین گام برای دسترسی به سرورهای هدوپ حفاظت نشده می باشد. لازم به ذکر است امروزه به ندرت فعالیتی از این بات مشاهده می‌شود چون هم اکنون گزینه‌های جدیدتری جایگزین آن شده‌اند.

اکسپلویت شماره دو: /manager/html

حدود ۱۱ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

اجرای کد با آپلود در برنامه کاربردی Apache Tomcat Manager

Apache Tomcat یک وب سرور کد منبع باز HTTP است که به زبان جاوا و تحت گواهینامه “Apache License 2.0” نوشته شده است. از این ماژول برای اجرای یک پی‌لود در سرورهای Apache Tomcat که برنامه کاربردی Manager آنها قابل دسترس است، استفاده می شود. این پی‌لود به شکل یک آرشیو WAR بارگذاری می‌گردد که حاوی یک برنامه کاربردی JSP بوده و با ارسال یک درخواست POST برای مسیر /manager/html/upload فعالیت خود را انجام می دهد.

اکسپلویت شماره سه: /level/15/exec/-/sh/run/CR

تقریباً ۷ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

مسیریاب های سیسکو فاقد سازوکار احراز هویت در رابط کاربری HTTP

شرکت سیسکو سخت‌افزارهای شبکه، تجهیزات ارتباط از راه دور نرم‌افزاری و انواع دیگری از سرویس‌ها و محصولات مجهز به فناوری‌های پیشرفته را طراحی کرده و به فروش می‌رساند. سیسکو در آگوست ۲۰۰۲ میلادی، Cisco iOS 11.2 را برای مسیریاب های خود عرضه کرد که شامل یک رابط کاربری HTTP جدید با وب سروری سازگار با HTTP 1.0 بود. این سرور امکان اجرای فرمان‌ها از طریق نشانی وب (URL) را فراهم می‌کرد. هکرها همچنان به دنبال یافتن مسیریاب های حفاظت نشده سیسکو که فاقد سازوکار احراز هویت در رابط کاربری HTTP می باشند، هستند.

اکسپلویت شماره چهار: /admin/assets/js/views/login.js

تقریباً ۲ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

Sangoma FreePBX با آسیب‌پذیری‌های مختلف

Sangoma FreePBX یک رابط گرافیکی (GUI) تحت وب کد منبع باز است که به منظور کمک جهت نصب و طراحی یک سیستم تلفنی مبتنی بر Asterisk (یک سرور تلفنی و سرویس صدا بر روی پروتکل اینترنت) بر روی سرورها یا محیط‌های مجازی طراحی شده است. از سپتامبر ۲۰۱۸ درخواست‌های زیادی برای دسترسی به منابع در مسیر /admin/assets/js/views/login.js ارسال و توسط شبکه Threat Deception شناسایی شده است. این منابع متعلق به کد Sangoma FreePBX بوده اند و احتمال می‌رود مهاجمان به دنبال شناسایی سرورهای FreePBX آسیب‌پذیر و استفاده از یکی از آسیب‌پذیری‌های شناخته شده باشند.

اکسپلویت شماره پنج: /ftptest.cgi?loginuse=&loginpas=

حدود ۱ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

دوربین تحت وب WIFICAM با چندین آسیب‌پذیری

بسیاری از دوربین‌های تحت وب بی‌سیم ارزان قیمت از کدی استفاده می‌کنند که بر اساس کد GoAhead طراحی شده است. این کد چندین آسیب‌پذیری دارد که مهمترین آنها آسیب‌پذیری تزریق کد است. در ماه مارس سال ۲۰۱۷ مقاله‌ای درباره بات‌نت “Persirai” منتشر شد که از آسیب‌پذیری‌های این دوربین‌ها برای توزیع خود و اجرای حملات محروم سازی از سرویس توزیع شده استفاده می‌کرد.

اکسپلویت شماره شش: /service/extdirect

حدود ۱ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

مدیر مخزن Sonatype Nexus – اجرای کد از راه دور

Nexus Repository Manager یک ابزار مدیریت مخزن کد منبع باز است که به پروکسی‌ها امکان جمع آوری و مدیریت وابستگی‌های طراحی شده توسط Sonatype را می دهد. در سال ۲۰۱۹، تیم امنیت سایبری Sonatype یک اطلاعیه امنیتی مهم درباره اکسپلویت CVE-2019-7238 منتشر کرد. Nexus Repository Manager 3.x OSS/Pro و نسخه‌های بعد از آن تا ۳.۱۴.۰ (و خود همین نسخه) در برابر این اکسپلویت آسیب‌پذیر بودند.

آسیب‌پذیری CVE-2019-7238 به مهاجمان امکان می‌داد از راه دور بتوانند بر روی سرورها کد اجرا کرده و محرمانگی، جامعیت و دسترس پذیری آنها را دچار مخاطره کنند.

اکسپلویت شماره هفت: /solr/admin/info/system?wt=json

حدود ۱ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

Apache Solr – آسیب‌پذیری پیمایش دایرکتوری

Apache Solr یک پلتفرم جستجوی سازمانی کد منبع باز است که بر پایه “Apache Lucene” طراحی شده است. در ماه می‌ سال ۲۰۱۳، بنیاد آپاچی آسیب‌پذیری CVE-2013-6397 را معرفی کرد که بر نسخه ۴.۳ این پلتفرم تأثیرگذار بود. این مشکل در نسخه ۴.۶ حل شد و ۲۱ سپتامبر همان سال نیز یک وصله امنیتی برای آن منتشر گردید.

اکسپلویت شماره هشت: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

حدود ۰.۵ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

چارچوب تست PHPUnit برای PHP – اجرای کد از راه دور

PHPUnit یک چارچوب تست برای زبان PHP است. این چارچوب هم مثل سایر چارچوب های مشابه به توسعه دهندگان PHP امکان می‌دهد خطای کدهای جدید را پیدا کنند. در سال ۲۰۱۷، آسیب‌پذیری CVE-2017-9841 که از این مشکل سوءاستفاده می‌کند، معرفی شد.

اکسپلویت شماره نه: /hudson

حدود ۰.۵ درصد از موارد هدف گیری سرویس‌های تحت وب، توسط این کد مخرب انجام شده است.

ابزار یکپارچه سازی Hudson – دارای چندین آسیب‌پذیری

یک ابزار ادغام مداوم است که با زبان برنامه نویسی جاوا نوشته شده و بر روی مخازنی مثل “Apache Tomcat” یا سرور برنامه‌های کاربردی “GlassFish” اجرا می‌شود. البته لازم به ذکر است پروژه “Jenkins” جایگزین این پروژه شده است. نسخه نهایی این پروژه یعنی ۳.۳.۳ در سال ۲۰۱۶ میلادی منتشر شد. امروزه پشتیبانی و نگهداری از Hudson که از فوریه ۲۰۱۷ منسوخ شده، متوقف گشته است.

 

منبع: securitymagazine

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

15 + 8 =

دکمه بازگشت به بالا