اخبار مرکز آپا دانشگاه اراک

قابل توجه دستگاه های اجرایی و شرکت های خصوصی که مایل به دریافت مشاوره تخصصی در زمینه ایمن سازی وبسایت، شبکه و نرم افزارهای خود می باشند

عوامل تهدید وابسته به‌گونه‌ای باج‌افزاری به نام Play از یک زنجیره بهره‌برداری که قبلاً دیده نشده است استفاده می‌کنند که قوانین مسدود کردن نقص‌های ProxyNotShell را در Microsoft Exchange Server برای دستیابی به اجرای کد از راه دور (RCE) از طریق [۱]Outlook Web Access (OWA) دور می‌زند. Brian Pitchford، Erik Iker و Nicolas Zilio، محققین CrowdStrike، در یک گزارش فنی که روز سه‌شنبه ۲۰ دسامبر ۲۰۲۲ منتشر شد، دراین‌باره گفتند[۲]: «این روش جدید بهره‌برداری، بازدارنده‌های بازنویسی URL[3] را برای نقطه پایانی [۴]Autodiscover دور می‌زند. باج افزار Play که برای اولین بار در ژوئن ۲۰۲۲ ظاهر شد، نشان داده شده است[۵] که بسیاری از تاکتیک‌های به کار گرفته‌شده توسط سایر خانواده‌های باج افزاری مانند [۶]Hive و [۷]Nokoyawa را اتخاذ می‌کند، که دومی در سپتامبر ۲۰۲۲ به Rust ارتقا یافت[۸]. بررسی‌های یک شرکت امنیت سایبری در مورد چندین نفوذ باج‌افزار Play نشان داد که دسترسی اولیه به محیط‌های هدف با بهره‌برداری مستقیم از CVE-2022-41040[9] انجام نمی‌شود، بلکه از طریق نقطه پایانی OWA به دست می‌آید. این تکنیک که OWASSRF نامیده می‌شود، احتمالاً از نقص مهم دیگری که به‌عنوان [۱۰]CVE-2022-41080 (امتیاز ۸/۸ در مقیاس CVSS) ردیابی می‌شود، برای دستیابی به افزایش امتیاز، و به دنبال آن از [۱۱]CVE-2022-41082 برای اجرای کد از راه دور استفاده می‌کند. Play شایان‌ذکر است که هر دوی CVE-2022-41040 و CVE-2022-41080 از یک مورد جعل درخواست سمت سرور (SSRF[12]) ناشی می‌شوند که به مهاجم اجازه می‌دهد به منابع داخلی غیرمجاز، در این مورد به سرویس از راه دور PowerShell دسترسی پیدا کند[۱۳]. CrowdStrike گفت که دسترسی اولیه موفقیت‌آمیز به دشمن امکان می‌دهد تا فایل‌های اجرایی قانونی Plink و AnyDesk را حذف کند تا دسترسی دائمی را حفظ کند و همچنین اقداماتی را برای پاک‌سازی گزارش رویدادهای ویندوز در سرورهای آلوده انجام دهد تا فعالیت مخرب را پنهان کند. هر سه آسیب‌پذیری توسط مایکروسافت به‌عنوان بخشی از به‌روزرسانی‌های وصله‌های سه‌شنبه‌ها برای نوامبر ۲۰۲۲ برطرف شد[۱۴]. بااین‌حال، مشخص نیست که آیا CVE-2022-41080 به‌عنوان یک نقص روز صفر در کنار CVE-2022-41040 و CVE-2022-41082 مورد بهره‌برداری قرار گرفته است یا خیر. سازنده ویندوز به‌نوبه خود، CVE-2022-41080 را با ارزیابی “احتمال بیشتر بهره‌برداری” برچسب‌گذاری کرده است، به این معنی که مهاجم ممکن است یک کد بهره‌بردار ایجاد کند که بتواند به‌طور قابل‌اعتمادی از این نقص استفاده کند. CrowdStrike همچنین خاطرنشان کرد که یک اسکریپت اثبات ادعای (PoC) پایتون که هفته گذشته توسط Dray Agha محقق آزمایشگاه Huntress کشف[۱۵] و افشا شد، ممکن است توسط بازیگران باج‌افزار Play برای دسترسی اولیه مورداستفاده قرار گرفته‌شده باشد. این موضوع گواه این واقعیت است که اجرای اسکریپت پایتون “تکثیر گزارش‌های تولیدشده در حملات اخیر باج افزار Play” را امکان‌پذیر کرد. محققان دراین‌باره می‌گویند: «سازمان‌ها باید وصله‌های ۸ نوامبر ۲۰۲۲ را برای Exchange اعمال کنند تا از بهره‌برداری جلوگیری کنند، زیرا بازدارنده‌های بازنویسی URL برای ProxyNotShell در برابر این روش بهره‌برداری مؤثر نیستند». به‌روزرسانی شرکت امنیت سایبری Rapid7، در گزارش مربوطه در روز چهارشنبه ۲۱ دسامبر ۲۰۲۲، اعلام کرد که از طریق زنجیره بهره‌برداری OWASSRF فوق‌العاده برای اجرای کد از راه دور، “افزایشی در تعداد آسیب‌پذیری‌های سرور Microsoft Exchange” مشاهده کرده است. Glenn Thorpe، محقق Rapid7، خاطرنشان کرد[۱۶]: «سرورهای وصله شده آسیب‌پذیر به نظر نمی‌رسند، سرورهایی که فقط از بازدارنده‌های مایکروسافت استفاده می‌کنند آسیب‌پذیر به نظر می‌رسند». بازیگران تهدید از این موضوع برای استقرار باج افزار استفاده می‌کنند. سخنگوی مایکروسافت در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شد، گفت: «روش گزارش‌شده از سیستم‌های آسیب‌پذیری که آخرین به‌روزرسانی‌های امنیتی ما را اعمال نکرده‌اند بهره‌برداری می‌کند» و افزود: «مشتریان باید نصب آخرین به‌روزرسانی‌ها، به‌ویژه به‌روزرسانی‌های نوامبر ۲۰۲۲ برای [۱۷]Exchange Server را در اولویت قرار دهند». از علاقه‌مندان به این حوزه دعوت می شود مقالات خود را به وبسایت این مجله ارسال نمایند.

خلاصه: سیسکو هشدار امنیتی جدیدی را درباره نقص شدیدی که بر سیستم‌افزار IP Phone 7800 و سری ۸۸۰۰ تأثیر می‌گذارد، منتشر کرده است که می‌تواند اجرای کد از راه دور یا وضعیت انکار سرویس (DoS) باشد. سیسکو، مرکز تخصصی تجهیزات شبکه گفت که در حال کار بر روی یک وصله برای رفع این آسیب‌پذیری است که به عنوان CVE-2022-20968 (امتیاز CVSS: 8.1) است. این آسیب‌پذیری ناشی از یک مورد عدم اعتبار ورودی بسته‌های دریافت شده پروتکل کشف سیسکو یا CDP یا Cisco Discovery Protocol است. CDP پروتکل اختصاصی مستقل از شبکه است که برای جمع‌آوری اطلاعات مربوط به دستگاه‌های متصل نزدیک مانند سخت‌افزار، نرم‌افزار و نام دستگاه و... استفاده می‌شود. به طور پیش فرض فعال است. این شرکت در هشداری که در ۸ دسامبر ۲۰۲۲ منتشر شد، گفت: «مهاجم می‌تواند با ارسال ترافیک پروتکل کشف سیسکو به دستگاه آسیب‌دیده از این آسیب‌پذیری سوءاستفاده کند. اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا سرریز پشته ایجاد کند که منجر به اجرای کد از راه دور یا شرایط انکار سرویس (DoS) در دستگاه آسیب‌دیده شود.» تلفن های IP سیسکو که نسخه سیستم عامل ۱۴.۲ و نسخه های قبلی را اجرا می کنند، تحت تأثیر این آسیب‌پذیری قرار می گیرند. وصله‌ای برای انتشار در ژانویه ۲۰۲۳ برنامه‌ریزی شده است و شرکت اعلام کرده است که هیچ به‌روزرسانی یا راه‌حلی برای رفع مشکل وجود ندارد. با این حال، در توسعه‌هایی که از هر دو پروتکل LLDP یا Link Layer Discovery Protocol و CDP برای کشف همسایه پشتیبانی می‌کنند، کاربران می‌توانند CDP را غیرفعال کنند تا دستگاه‌های آسیب‌دیده برای تبلیغ هویت و قابلیت‌های خود به LLDP برای ارتباط مستقیم با همسایگان در یک شبکه محلی تغییر کنند. این شرکت می‌گوید: «این تغییر بی‌اهمیت نیست و نیاز به کوشش از طرف شرکت برای ارزیابی هرگونه تأثیر بالقوه بر دستگاه‌ها و همچنین بهترین رویکرد برای استقرار این تغییر در شرکت آنها دارد». همچنین هشدار داد که از در دسترس بودن یک سوءاستفاده اثبات مفهوم (PoC) آگاه است و این نقص به طور عمومی افشا شده است. هیچ مدرکی مبنی بر اینکه این آسیب پذیری تا به امروز به طور فعال مورد سوءاستفاده قرار گرفته باشد، وجود ندارد. Qian Chen از تیم Codesafe Legendsec در گروه Qi'anxin مسئول کشف و گزارش این آسیب‌پذیری است.