آسیبپذیریهای ادوبی فلش در هفت کیت بهرهبرداری همچنان وجود دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق گزارش محققان امنیتی از Recorded Future، یک آسیبپذیری روز-صفرم ادوبی فلش که در بهروزرسانی ضروری مهرماه وصله شدهبود، همچنان در هفت کیت بهرهبرداری مورد سوءاستفاده قرار میگیرد.
این آسیبپذیری در نرمافزار ادوبی فلش با شناسه CVE-۲۰۱۵-۷۶۴۵ توسط گروه نفوذ روسی با نام APT ۲۸ در حملات فیشینگ مورد استفاده قرار میگیرد. مهاجمان در این حملات فیشینگ با جعل هویت وزارتخانههای امور خارجه، کاربران در سراسر دنیا را هدف قرار میدهند.
گروه نفوذ APT ۲۸ که با نام Sofacy نیز شناخته میشود، بارها ناتو را با انگیزههای سیاسی هدف قرار دادهاست. در آبانماه نیز این گروه بهدلیل استفاده از پروندههای فلش و آسیبپذیریهای روز-صفرم ویندوز توسط مایکروسافت شناسایی شد.
بعد از اینکه شرکت ادوبی راهکارهای کاهش خطر حملات مبتنیبر حافظه را پیادهسازی کرد، آسیبپذیری فلش اولین اشکالی بود که توسط مهاجمان مورد استفاده قرار گرفت. با وجود بهبودهای امنیتی در ادوبی فلش، مهاجمان همچنان از آسیبپذیریهای موجود در این نرمافزار بهرهبرداری میکنند.
در گزارش Recorded Future، عنوان شد از ۱۰ آسیبپذیری برتر در کیتهای بهرهبرداری، ۶ مورد آن مربوط به فلش است که در اینترنت اکسپلورر، ویندوز و سیلورلایت مورد استفاده و بهرهبرداری قرار میگیرد. از این ۱۰ آسیبپذیری برتر امسال که در گزارش عنوان شده، هیچیک در گزارش سال قبل وجود نداشتهاست.
همزمان با ارتقای کیتهای بهرهبرداری، چند مورد از این کیتها نیز ناپدید شدهاند ازجمله کیت بهرهبرداری Angler و Nuclear. کیت بهرهبرداری Angler در بین مهاجمان فضای مجازی بسیار محبوب بود و دائماً بهروزرسانی شده و در بازارهای سیاه زیرزمینی به فروش میرسید. خردادماه هنگام دستگیری مجرمان روسی مربوط به تروجان Lurk، آخرین روزهایی بود که کیت بهرهبرداری Angler مشاهده شد. محققان آزمایشگاه کسپرسکی در گزارش مردادماه ارتباط بین گروه Lurk و کیت بهرهبرداری Angler را تأیید کردند.
با این وجود کیتهای بهرهبرداری بهعنوان یک تهدید جدی هنوز باقی ماندهاند و موتور محرک بسیاری از حملات ازجمله باجافزارها، کلاهبرداری کلیکی و تبلیغافزارها هستند. قربانیان ممکن است از راههای مختلفی مانند راهاندازی پس از بارگیری، تبلیغافزارها و پیوندهای موجود در رایانامهها آلوده شوند. پس از آلودگی، قربانی از طریق مرورگر وب به صفحهای هدایت میشود که کیت بهرهبرداری بر روی آن میزبانی میشود. کدی که بر روی صفحه کیت بهرهبردار اجرا میشود، مرورگر قربانی را شناسایی کرده و به احتمال زیاد، بهرهبرداری را متناسب با آن اجرا میکند.
آسیبپذیری CVE-۲۰۱۵-۷۶۴۵ در کیت بهرهبرداری Angler پیدا شد و علاوهبر این بر روی کیتهای Neutrino ،Magnitude ،RIG ،Nuclear Pack ،Spartan و Hunger نیز وجود داشت. براساس گزارش Recorded Future این آسیبپذیری بیشترین نفوذ را در کیتهای بهرهبرداری داشتهاست.
با توجه به ناپدیدشدن کیت Angler در اوایل امسال، کیت بهرهبرداری Sundown جای خالی آن را با بهروز نگهداشتن بهرهبرداریها پر کرد. هرچند که بار داده کیت Sundown متفاوت بوده و تروجان بانکی را بر روی سامانه قربانی نصب میکند. جالب است بگوییم این کیت نیز دارای آسیبپذیری فلش بوده و اوایل امسال سازمانهای کره جنوبی را با اشکال موجود در اینترنت اکسپلورر هدف قرار دادهبود.
مایکروسافت این آسیبپذیری را خردادماه وصله کرد ولی مشاهدهشد که این اشکال همچنان در کیت Neutrino مورد بهرهبرداری قرار میگرفت. این اشکال فلش در اینترنت اکسپلورر جزو پرتکرارترین آسیبپذیریها در کیتهای بهرهبرداری بوده که بیش از ۶۰۰ بار گزارش شدهاست. دو آسیبپذیری دیگر فلش پلیر با شناسههای CVE-۲۰۱۶-۱۰۱۹ و CVE-۲۰۱۶-۴۱۱۷ در جایگاههای بعدی قرار دارند.