آسیبپذیری موجود در سرورهای وصلهنشده PULSE SECURE VPN منحر به انتشار باجافزار REVIL شدهاست.
منبع : مرکز ماهر
آسیبپذیری موجود در سرورهای وصلهنشده PULSE SECURE VPN منحر به انتشار باجافزار REVIL شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی هشدار دادهاند كه يك آسيبپذيری شناختهشده که بر محصول VPN از شرکت Pulse Secure تأثیر میگذارد، توسط مجرمان سایبری برای ارایهی يك قطعه باجافزار با نام REvil، مورد استفاده قرار گرفتهاست.
این نقص که با شناسه CVE-۲۰۱۹-۱۱۵۱۰ ردیابی میشود، یک حفره امنیتی است که به مهاجمان راه دور و بدون اعتبار اجازه میدهد تا از راه دور به شبکه شرکتها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاههها و گذرواژههای ذخیرهشده در متن ازجمله گذرواژههای حساب کاربری Active Directory را مشاهده کنند.
باجافزار REvil (Sodinokibi) در ماه دسامبر سال ۲۰۱۹ کشف شد و طی یک ماه به چندین درگاه ارائهدهنده خدمات و همچنین بیش از ۴۰۰ مطب دندانپزشکی نفوذ کرد.
محققان این باجافزار را بهعنوان یکی از باجافزارهای خطرناک طبقهبندی کردهاند؛ چراکه قادر به ایجاد ویرانیهای شدید در سیستم میزبان است. بهگفتهی آنان، مهاجمان دائماً از این باجافزار برای رمزگذاری سیستمهای تجاری بسیار حساس استفاده و مبلغ هنگفتی را بهعنوان باج درخواست میكنند. در ابتدا، این باج افزار از آسیبپذیری Oracle WebLogic در برابر سیستمهای آلوده استفاده میکرد، اما اینبار هکرها بهدنبال غیرفعال کردن سیستمهای ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصلهنشده هستند.
مهاجمان بهراحتی و با استفاده از موتور جستوجوی Shodan.io، قادر به شناسایی سرورهای آسیبپذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باجافزار استفاده میکنند. آنها متعاقباً کنترل دامنه را بهدست گرفته و از نرمافزار دسترسی از راه دور برای حرکت در سیستم استفاده میکنند. در این مرحله، باجافزار REvil میتواند ابزارهای امنیتی را غیرفعال کند و از طریق پیامهای فرمان "PsExec" به تمام سیستمها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهدبود و تنها باجافزار، توانایی انجام آن را دارد.
طبق تحقیقات انجامشده، حدود ۳۸۲۰ سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی بهروز نشدهاند. از این تعداد، بیش از ۱۳۰۰ مورد، سرورهای آسیبپذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse بهطور مؤثری از وصلهی صادرشده در ماه آوریل سال گذشته استفاده کردهاند، اما برخی از سازمانها هنوز این وصلهها را اعمال نکردهاند. این سازمانها، آسیبپذیرترین سیستمها در برابر حملهی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستمهای خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه پشتیبانی این شرکت با آدرس https://support.pulsesecure.net/support/support-contacts مراجعه کنند.