‫آسیب‌پذیری موجود در سرورهای وصله‌نشده‌ PULSE SECURE VPN منحر به انتشار باج‌افزار REVIL شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی هشدار داده‌اند كه يك ‫آسيب‌پذيری شناخته‌شده که بر محصول VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته‌است.

این نقص که با شناسه‌  CVE-۲۰۱۹-۱۱۵۱۰ ردیابی می‌شود، یک حفره‌ امنیتی است که به مهاجمان راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.

باج‌افزار REvil (Sodinokibi) در ماه دسامبر سال ۲۰۱۹ کشف شد و طی یک ماه به چندین درگاه ارائه‌دهنده‌ خدمات و همچنین بیش از ۴۰۰ مطب دندانپزشکی نفوذ کرد.

محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.

مهاجمان به‌راحتی و با استفاده از موتور جست‌وجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.

هکرها برای دست‌یابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آنها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec" به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهدبود و تنها باج‌افزار، توانایی انجام آن را دارد.

طبق تحقیقات انجام‌شده، حدود ۳۸۲۰ سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از ۱۳۰۰ مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.

خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.

Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ پشتیبانی این شرکت با آدرس https://support.pulsesecure.net/support/support-contacts مراجعه کنند.