CISA درباره 15 آسیب‌پذیری فعال هشدار داد

آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) 15 آسیب‌پذیری فعال و جدید را که به تازگی توسط هکرها مورد استفاده قرار گرفته‌اند، به فهرست نقایص امنیتی اضافه کرد. تاریخچه بعضی از این آسیب‌پذیری‌ها به سال 2014 برمی‌گردد؛ اما 2 مورد از آنها که در اجزای ویندوز وجود دارند مربوط به 2 سال گذشته هستند.

این نهاد در توصیه نامه خودش می‌گوید: «چنین آسیب‌پذیری‌هایی جزو مسیرهای حمله پرکاربرد برای انواع مهاجمان سایبری بوده و مخاطرات امنیتی چشمگیری را نیز برای سازمان‌های دولتی ایجاد می‌کنند». فهرست آسیب‌پذیری‌های شناخته شده CISA به صورت منظم و بر اساس مشاهدات به دست آمده از حملات واقعی و تحقیقات صورت گرفته درباره این حملات به روزرسانی شده است. CISA همچنین برای رفع هر یک از این آسیب‌پذیری‌ها یک راهکار امنیتی ارایه و در اختیار سازمان‌ها قرار داده است.

آسیب‌پذیری ارتقای سطح دسترسی

یکی از نقایص امنیتی که به تازگی به این فهرست اضافه شده و در جامعه امنیت سایبری به عنوان یک تهدید جدی شناخته می‌شود، CVE-2021-36934 است.  درجه وخامت استاندارد CVSS[1] (مخفف Common Vulnerability Scoring System) این آسیب‌پذیری که در مدیریت حساب‌های امنیتی مایکروسافت ویندوز یا [2]SAM (مخفف Security Accounts Manager) وجود دارد 8 از 10 است.

علت اصلی ایجاد این آسیب‌پذیری ارتقای سطح دسترسی ویندوز است. CVE-2021-36934 ناشی از وجود مجوزهای دسترسی نامناسب در ویندوز برای فایلی است که پایگاه داده SAM را ذخیره نموده و به مهاجمان امکان استخراج هش کلمات عبور سایر حساب‌ها مثل حساب SYSTEM را می‌دهد. مجرمان سایبری می‌توانند با استفاده از دسترسی‌های این حساب‌ها کدهای دلخواه‌شان را اجرا کنند. این نقص امنیتی برای اولین بار در جولای سال 2021 شناسایی و گزارش شده و مایکروسافت نیز بلافاصله در همان زمان یک وصله امنیتی اختصاصی برای رفع آن منتشر کرد.

همچنین محققان ثابت کردند که مجرمان سایبری می‌توانند به‎‌راحتی از CVE-2021-36934 برای استخراج هش‌هایی که امکان اجرای کد از راه دور را بر روی سیستم‌های دیگر فراهم می‌نمایند سوءاستفاده کنند. از این رو این نقص امنیتی یک خطر جدی برای حرکت عرضی در محیط محسوب می‌شود.

هر چند این آسیب‌پذیری جزو آسیب‌پذیری‌های جدید در بین سایر موارد این فهرست است ولی CISA در اسرع وقت راهکار رفع آن را در 24ام فوریه اعلام کرده و برای سایر آسیب‌پذیری‌ها نیز تا دهم آگوست فرصت داده است. بنابراین واضح است که CVE-2021-36934 یک آسیب‌پذیری بسیار مهم برای CISA محسوب می‌شود.

یک دیدگاه غلط که درباره آسیب‌پذیری‌های ارتقای سطح دسترسی وجود دارد این است که مهاجمان برای سوءاستفاده از آنها باید به سیستم مدنظر دسترسی داشته و درجه وخامت این آسیب‌پذیری‌ها نیز نسبت به آسیب‌پذیری‌های مربوط به اجرای کد از راه دور کمتر است. در حالی که مجرمان سایبری با بکارگیری راهکارهای مختلفی مثل فیشینگ، حملات دانلود ناخواسته (Drive by Download) و سوءاستفاده از آسیب‌پذیری‌های موجود در سرویس‌ها و نرم‌افزارهایی که دارای امتیاز دسترسی بالایی نیستند و همچنین از طریق فریب کاربران در شبکه‌های اجتماعی و غیره از این آسیب‌پذیری‌ها سوءاستفاده می‌کنند. نقایص امنیتی که منجر به ارتقای سطح دسترسی می‌شوند بخش مهمی از زنجیره اکسپلویت امروزی بوده و مشابه اجرای کد از راه دور مخاطرات بسیار جدی را به بار خواهند آورد.

اجرای کد از راه دور SMB

CVE-2020-0796 دومین نقص امنیتی که به تازگی توسط CISA به این فهرست اضافه شده و دارای سطح وخامت حیاتی  است. ریشه این آسیب‌پذیری که در ماه مارس سال 2020 میلادی توسط شرکت مایکروسافت رفع شد، در شیوه مدیریت بعضی از درخواست‌ها توسط پروتکل SMBv3 است. چنین آسیب‌پذیری که می‌تواند باعث اجرای کد از راه دور هم از طریق یک کلاینت بر روی سرور و هم از طریق سرور بر روی کلاینت‌ها شود، بر ویندوز 10 و ویندوز سرور بسیار تأثیرگذار است.

نقص‌های امنیتی مربوط به اجرای کد از راه دور بسیار مخاطره‌آمیز هستند چون SMB پروتکل اصلی است که در مرکزیت همه شبکه‌های ویندوزی قرار داشته و امکان اشتراک‌گذاری فایل‌ها، اشتراک‌گذاری چاپگر (یا پرینتر)، گشت‌وگذار در شبکه و ارتباطات سرویس به سرویس را فراهم می‌کند. پیش از این نیز اکسپلویت‌های SMB مثل EternalBlue (CVE-2017-0144) و EternalRomance (CVE-2017-0145) (که جزو آسیب‌پذیری‌های موجود در فهرست CISA هم هستند) به اجرای حملات باج‌افزاری کمک کردند. برای مثال باج‌افزار WannaCry با سوءاستفاده از این آسیب‌پذیری‌ها میلیاردها دلار خسارت ایجاد کرد.

سایر نقایص امنیتی

آسیب‌پذیری‌هایی که به تازگی به این فهرست اضافه شده‌اند بر انواع نرم‌افزارهای سازمانی از جمله سیستم عامل‌هایی مثل ویندوز و OS X، سرورهای اتوماسیون مثل Jenkins، فریم ورک‌های توسعه مثل Apache Struts، سرورهای برنامه‌های کاربردی تحت وب مثل Oracle WebLogic، کارگزار پیام‌های متن باز Apache ActiveMQ و حتی میان‌افزار مسیریاب شبکه تأثیرگذار هستند. فهرست کامل این آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2021-36934: آسیب‌پذیری ارتقای سطح دسترسی محلی SAM در مایکروسافت ویندوز
• CVE-2020-0796: آسیب‌پذیری اجرای کد از راه دور SMBv3 مایکروسافت
• CVE-2018-1000861: آسیب‌پذیری Deserialization (تبدیل ناامن بایت‌های) داده‌های غیرقابل اعتماد در فریم ورک وب Jenkins Stapler
• CVE-2017-9791: آسیب‌پذیری اعتبارسنجی ناقص ورودی‌های Apache Struts 1
• CVE-2017-8464: آسیب‌پذیری اجرای کد از راه دور پوسته مایکروسافت ویندوز (.lnk)
• CVE-2017-10271: آسیب‌پذیری اجرای کد از راه دور سرور WebLogic اوراکل
• CVE-2017-0263: آسیب‌پذیری ارتقای سطح دسترسی Win32k مایکروسافت
• CVE-2017-0262: آسیب‌پذیری اجرای کد از راه دور مایکروسافت آفیس
• CVE-2017-0145: آسیب‌پذیری اجرای کد از راه دور SMBv1 مایکروسافت
• CVE-2017-0144: آسیب‌پذیری اجرای کد از راه دور SMBv1 مایکروسافت
• CVE-2016-3088: آسیب‌پذیری اعتبارسنجی نادرست ورودی‌های Apache ActiveMQ
• CVE-2015-2051: آسیب‌پذیری اجرای کد از راه دور مسیریاب D-Link DIR-645
• CVE-2015-1635: آسیب‌پذیری اجرای کد از راه دور HTTP.sys مایکروسافت
• CVE-2015-1130: آسیب‌پذیری دور زدن احرازهویت سیستم عامل OS X اپل
• CVE-2014-4404: آسیب‌پذیری سرریز بافر بر اساس پشته Heap سیستم عامل OS X اپل

[1] از CVSS جهت ارزیابی و بیان شدت وخامت آسیب‌پذیری‌ها استفاده می‌شود.

[2]کلمات عبور کاربران در ویندوز 7، ویندوز XP و ویندوز ویستا در فایل SAM ذخیره و رمزنگاری می‌شود.

منبع: csoonline