محققان امنیتی شرکت Radware، 9 مورد از اکسپویلتهای مهم سرویسهای تحت وب که در سال 2020 از آنها برای انجام حملات در سطح وسیع استفاده شده است را معرفی کردند.
شناسایی این اکسپلویتها توسط مرکز مطالعه تهدیدات سایبری این شرکت انجام شده که ترافیک مخرب و سوءاستفاده از آسیبپذیریها را با کمک شبکهای موسوم به “Global Deception Network” تحت نظارت دارد. این شبکه، متشکل از عوامل فریبنده توزیع شده در دارک نت یا هانیپات است. وظیفه این مرکز، اجرای سرویسهایی است که باتها را با هدف نفوذ، سوءاستفاده، هک سیستمهای رایانشی، ایجاد باتنتهای جدید و اجرای حملات محروم سازی از سرویس توزیع شده (DDoS) جذب میکند.
شبکه فریب این مرکز مطالعاتی، صدها هزار آیپی از منابع مخرب را که روزانه میلیونها رویداد مختلف را ایجاد میکنند، جذب میکند. الگوریتمهای تحلیل خودکار این شبکه، کار ارایه اطلاعات و دسته بندی انواع مختلف فعالیتهای مخرب را انجام میدهند. در زیر، توضیح مختصری در خصوص هر کدام از این 9 مورد آمده است.
اکسپلویت شماره یک: /ws/v1/cluster/apps/new-application
حدود 74.85 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
آپاچی هدوپ، اجرای کدهای بدون مجوز از طریق YARN ResourceManager
هدوپ یک چارچوب پردازشی توزیع شده کد منبع باز است که از آن برای مدیریت ذخیره اطلاعات و پردازش دادههای حجیم برنامههای کاربردی که معمولاً در سیستمهای کلاستری اجرا میشوند، استفاده می شود. در اکتبر 2018 میلادی، Radware یک عامل (Agent) مخرب به نام “DemonBot” را شناسایی کرد که برای اجرا بر روی سرورهای آسیبپذیر هدوپ طراحی شده بود.
بات اصلی برای اولین بار در سپتامبر 2018 در شبکه Threat Deception این شرکت که در حال تلاش برای اجرای درخواستی در مسیر “/ws/v1/cluster/apps/new-application” بود، شناسایی شد. این اقدام، نخستین گام برای دسترسی به سرورهای هدوپ حفاظت نشده می باشد. لازم به ذکر است امروزه به ندرت فعالیتی از این بات مشاهده میشود چون هم اکنون گزینههای جدیدتری جایگزین آن شدهاند.
اکسپلویت شماره دو: /manager/html
حدود 11 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
اجرای کد با آپلود در برنامه کاربردی Apache Tomcat Manager
Apache Tomcat یک وب سرور کد منبع باز HTTP است که به زبان جاوا و تحت گواهینامه “Apache License 2.0” نوشته شده است. از این ماژول برای اجرای یک پیلود در سرورهای Apache Tomcat که برنامه کاربردی Manager آنها قابل دسترس است، استفاده می شود. این پیلود به شکل یک آرشیو WAR بارگذاری میگردد که حاوی یک برنامه کاربردی JSP بوده و با ارسال یک درخواست POST برای مسیر /manager/html/upload فعالیت خود را انجام می دهد.
اکسپلویت شماره سه: /level/15/exec/-/sh/run/CR
تقریباً 7 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
مسیریاب های سیسکو فاقد سازوکار احراز هویت در رابط کاربری HTTP
شرکت سیسکو سختافزارهای شبکه، تجهیزات ارتباط از راه دور نرمافزاری و انواع دیگری از سرویسها و محصولات مجهز به فناوریهای پیشرفته را طراحی کرده و به فروش میرساند. سیسکو در آگوست 2002 میلادی، Cisco iOS 11.2 را برای مسیریاب های خود عرضه کرد که شامل یک رابط کاربری HTTP جدید با وب سروری سازگار با HTTP 1.0 بود. این سرور امکان اجرای فرمانها از طریق نشانی وب (URL) را فراهم میکرد. هکرها همچنان به دنبال یافتن مسیریاب های حفاظت نشده سیسکو که فاقد سازوکار احراز هویت در رابط کاربری HTTP می باشند، هستند.
اکسپلویت شماره چهار: /admin/assets/js/views/login.js
تقریباً 2 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
Sangoma FreePBX با آسیبپذیریهای مختلف
Sangoma FreePBX یک رابط گرافیکی (GUI) تحت وب کد منبع باز است که به منظور کمک جهت نصب و طراحی یک سیستم تلفنی مبتنی بر Asterisk (یک سرور تلفنی و سرویس صدا بر روی پروتکل اینترنت) بر روی سرورها یا محیطهای مجازی طراحی شده است. از سپتامبر 2018 درخواستهای زیادی برای دسترسی به منابع در مسیر /admin/assets/js/views/login.js ارسال و توسط شبکه Threat Deception شناسایی شده است. این منابع متعلق به کد Sangoma FreePBX بوده اند و احتمال میرود مهاجمان به دنبال شناسایی سرورهای FreePBX آسیبپذیر و استفاده از یکی از آسیبپذیریهای شناخته شده باشند.
اکسپلویت شماره پنج: /ftptest.cgi?loginuse=&loginpas=
حدود 1 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
دوربین تحت وب WIFICAM با چندین آسیبپذیری
بسیاری از دوربینهای تحت وب بیسیم ارزان قیمت از کدی استفاده میکنند که بر اساس کد GoAhead طراحی شده است. این کد چندین آسیبپذیری دارد که مهمترین آنها آسیبپذیری تزریق کد است. در ماه مارس سال 2017 مقالهای درباره باتنت “Persirai” منتشر شد که از آسیبپذیریهای این دوربینها برای توزیع خود و اجرای حملات محروم سازی از سرویس توزیع شده استفاده میکرد.
اکسپلویت شماره شش: /service/extdirect
حدود 1 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
مدیر مخزن Sonatype Nexus – اجرای کد از راه دور
Nexus Repository Manager یک ابزار مدیریت مخزن کد منبع باز است که به پروکسیها امکان جمع آوری و مدیریت وابستگیهای طراحی شده توسط Sonatype را می دهد. در سال 2019، تیم امنیت سایبری Sonatype یک اطلاعیه امنیتی مهم درباره اکسپلویت CVE-2019-7238 منتشر کرد. Nexus Repository Manager 3.x OSS/Pro و نسخههای بعد از آن تا 3.14.0 (و خود همین نسخه) در برابر این اکسپلویت آسیبپذیر بودند.
آسیبپذیری CVE-2019-7238 به مهاجمان امکان میداد از راه دور بتوانند بر روی سرورها کد اجرا کرده و محرمانگی، جامعیت و دسترس پذیری آنها را دچار مخاطره کنند.
اکسپلویت شماره هفت: /solr/admin/info/system?wt=json
حدود 1 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
Apache Solr – آسیبپذیری پیمایش دایرکتوری
Apache Solr یک پلتفرم جستجوی سازمانی کد منبع باز است که بر پایه “Apache Lucene” طراحی شده است. در ماه می سال 2013، بنیاد آپاچی آسیبپذیری CVE-2013-6397 را معرفی کرد که بر نسخه 4.3 این پلتفرم تأثیرگذار بود. این مشکل در نسخه 4.6 حل شد و 21 سپتامبر همان سال نیز یک وصله امنیتی برای آن منتشر گردید.
اکسپلویت شماره هشت: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
حدود 0.5 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
چارچوب تست PHPUnit برای PHP – اجرای کد از راه دور
PHPUnit یک چارچوب تست برای زبان PHP است. این چارچوب هم مثل سایر چارچوب های مشابه به توسعه دهندگان PHP امکان میدهد خطای کدهای جدید را پیدا کنند. در سال 2017، آسیبپذیری CVE-2017-9841 که از این مشکل سوءاستفاده میکند، معرفی شد.
اکسپلویت شماره نه: /hudson
حدود 0.5 درصد از موارد هدف گیری سرویسهای تحت وب، توسط این کد مخرب انجام شده است.
ابزار یکپارچه سازی Hudson – دارای چندین آسیبپذیری
یک ابزار ادغام مداوم است که با زبان برنامه نویسی جاوا نوشته شده و بر روی مخازنی مثل “Apache Tomcat” یا سرور برنامههای کاربردی “GlassFish” اجرا میشود. البته لازم به ذکر است پروژه “Jenkins” جایگزین این پروژه شده است. نسخه نهایی این پروژه یعنی 3.3.3 در سال 2016 میلادی منتشر شد. امروزه پشتیبانی و نگهداری از Hudson که از فوریه 2017 منسوخ شده، متوقف گشته است.
منبع: securitymagazine