آسیب‌پذیری‌هایی که مهاجمان سایبری به آنها علاقه‌مندند
کد مطلب: 18308
تاریخ انتشار : چهارشنبه ۳۱ شهريور ۱۴۰۰ ساعت ۱۵:۰۱
 
محققان امنیتی فهرستی آسیب‌پذیری‌هایی را که در یک سال اخیر برای نفوذ به شبکه قربانیان مورد سوءاستفاده مهاجمان قرار گرفته است ارائه داده‌اند.
آسیب‌پذیری‌هایی که مهاجمان سایبری به آنها علاقه‌مندند
 
 
Share/Save/Bookmark
محققان امنیتی فهرستی آسیب‌پذیری‌هایی را که در یک سال اخیر برای نفوذ به شبکه قربانیان مورد سوءاستفاده مهاجمان سایبری قرار گرفته است ارائه داده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تهیه این فهرست با فراخوان یکی از محققان تیم واکنش حوادث امنیت رایانه (Computer Security Incident Response Team) شرکت رکوردد فیوچر (.Recorded Future, Inc) در توییتر آغاز شد. با ملحق شدن محققان دیگر به این کارزار، این فهرست به‌سرعت تکمیل شد. این فهرست شامل ضعف‌های امنیتی موجود در بیش از دوازده محصول ساخت شرکت‌های مطرح فناوری اطلاعات است.

به گفته محققان امنیتی، این ضعف‌های امنیتی توسط برخی گروه‌های باج‌افزاری در حملات گذشته و جاری مورد سوءاستفاده قرار گرفته‌اند و احتمال می‌رود همچنان در آینده نیز مورد بهره‌برداری قرار گیرند. به‌عبارت‌دیگر، این آسیب‌پذیری‌ها، ضعف‌هایی هستند که به‌صورت فعال از آن‌ها سوءاستفاده می‌شود.
ضعف‌های امنیتی که در نقطه شروع حملات باج‌افزاری از آن‌ها سوءاستفاده می‌شود در فهرست زیر به شکل نمودار لیست شده است:
گروه‌های باج‌افزاری به طور مستمر در حال بهره‌برداری از آسیب‌پذیری‌های جدید هستند. به‌عنوان‌مثال، در هفته‌های اخیر، برخی گردانندگان خدمات "باج‌افزار به‌عنوان سرویس" (Ransomware-as-a-Service – به‌اختصار RaaS)، سوءاستفاده از ضعف امنیتی موجود در MSHTML به شناسه CVE-۲۰۲۱-۴۰۴۴۴ را برای "اجرای کد از راه دور" در نسخه‌های مختلف سیستم‌عامل Windows در دستور کار خود قرار داده‌اند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال کرده و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML سوءاستفاده می‌کند. البته مایکروسافت این آسیب‌پذیری را در اصلاحیه ماه سپتامبر خود برطرف کرده است.

در اوایل شهریور، باج‌افزار Conti نیز سرورهای Exchange را هدف قرارداد و با سوءاستفاده از مجموعه آسیب‌پذیری‌های ProxyShell (با شناسه‌های CVE-۲۰۲۱-۳۴۴۷۳، CVE-۲۰۲۱-۳۴۵۲۳ و CVE-۲۰۲۱-۳۱۲۰۷) به شبکه سازمان‌های مختلفی نفوذ کرد.

در اواسط تابستان، LockFile از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange و آسیب‌پذیری‌‌های PetitPotam در Windows برای تسخیر دامنه‌های Windows و رمزگذاری دستگاه‌ها سوءاستفاده کردند.
Magniber نیز سوءاستفاده از ضعف امنیتی PrintNightmare به شناسه CVE-۲۰۲۱-۳۴۵۲۷ را در کارنامه دارد.
در نمونه‌ای دیگر eCh۰raix نیز با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ تجهیزات NAS ساخت شرکت‌های کیونپ (QNAP) و ساینالوژی (Synology) را مورد هدف قرار داده است.

باج‌افزار HelloKitty نیز در تیرماه، تجهیزات آسیب‌پذیر SonicWall را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۹-۷۴۸۱ مورد هدف قرارداد. در همین ماه مهاجمان REvil با سوءاستفاده از آسیب‌پذیری‌های "روز - صفر" Kaseya (به شناسه‌های CVE-۲۰۲۱-۳۰۱۱۶، CVE-۲۰۲۱-۳۰۱۱۹ و CVE-۲۰۲۱-۳۰۱۲۰)، مشتریان شرکت کاسیا (Kaseya) را که از محصول Kaseya VSA استفاده می‌کردند هدف حملات گسترده‌ای قرار دادند. در جریان این حملات، ۶۰ شرکت ارائه‌دهنده خدمات پشتیبانی (Managed Service Provider – به‌اختصار MSP) و بیش از ۱۵۰۰ کسب‌وکار در سراسر جهان مورد حمله و رمزگذاری قرار گرفتند.

باج‌افزار FiveHands نیز از ضعف امنیتی موجود در تجهیزات SonicWall به شناسه CVE-۲۰۲۱-۲۰۰۱۶ قبل از این که در اواخر سال ۱۳۹۹ وصله شود، سوءاستفاده کرد.

شرکت کیونپ در فروردین‌ماه، در خصوص حملات باج‌افزار AgeLocker از طریق سوءاستفاده از ضعف امنیتی "روز - صفر" در ثابت افزارهای (Firmware) قدیمی تجهیزات NAS ساخت این شرکت هشدار داد. درست همان‌طور که یک گروه بزرگ باج‌افزاری به نام Qlocker، تجهیزات ساخت شرکت کیونپ را که ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ در آن¬ها وصله نشده بود، هدف حمله قرارداد.

در همان ماه، پس از هشدار مشترک FBI و CISA مبنی بر اینکه مهاجمان در حال اسکن تجهیزات آسیب‌پذیر ساخت شرکت فورتی نت (Fortinet) هستند، باج‌افزار Conti رمزگذاری دستگاه‌های آسیب‌پذیر VPN فورتی نت مربوط به بخش صنعتی را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۸-۱۳۳۷۹ آغاز کرد.

در اسفند ۱۳۹۹، سرورهای Exchange در سراسر جهان مورد حمله Black Kingdom قرار گرفتند و باج‌افزار Dearcry نیز در موج گسترده‌ای از حملات خود سیستم‌های بدون وصله را از طریق آسیب‌پذیری ProxyLogon با شناسه‌های CVE-۲۰۲۱-۲۶۸۵۵، CVE-۲۰۲۱-۲۶۸۵۷ و CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ مورد هدف قرارداد و در آخر اینکه از اواسط آذر سال ۹۹ تا دی‌ماه ۹۹، باج‌افزار Clop با سوءاستفاده از ضعف‌های امنیتی به شناسه CVE-۲۰۲۱-۲۷۱۰۱، CVE-۲۰۲۱-۲۷۱۰۲ ، CVE-۲۰۲۱-۲۷۱۰۳ و CVE-۲۰۲۱-۲۷۱۰۴ به سرورهای Accellion حمله کرد.

محققان همواره در تلاش هستند که حملات باج‌افزاری که سال‌هاست بخش‌های خصوصی و عمومی جهان را درگیر کرده است، بی‌اثر کنند. در این راستا، به تازگی نهادهای امنیتی کشورهای مختلف دستورالعمل‌هایی جهت حفاظت و مقابله با باج‌افزارها در کسب‌وکارها منتشر کرده‌اند.

برخی از این دستورالعمل‌ها در لینک‌های زیر آمده‌اند:
https://www.cert.govt.nz/business/guides/protecting-from-ransomware/
https://github.com/cisagov/cset
https://www.cisa.gov/stopransomware/ive-been-hit-ransomware
مرجع : مرکز مدیریت راهبردی افتا
 


 
نام :
تلفن همراه :
آدرس ايميل :