کمیته رکن چهارم – تحقیقات جدید نشان میدهد نسخه جدید بدافزار FreakOut قادر به آلودهسازی سرورهای آسیبپذیر VMware vCenter هستند.
بدافزار FreakOut که با نامهای Necro و N۳Cr۰m۰rPh نیز شناخته میشود، بدافزاری مبتنی بر Python است که دستگاههای Windows و Linux را هدف قرار میدهد.
FreakOut اسکریپتی مبهم سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایلهای مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه میدارد.
این بدافزار با بهرهگیری از چندین آسیبپذیری در سیستمهای عامل و برنامهها و اجرای حملات Brute-force در بستر SSH، دستگاهها را به شبکه مخرب (Botnet) خود ملحق میکند.
قابلیتهای پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راهاندازی درب پشتی روی سامانههای آلوده، اجرای باجافزار، شنود ترافیک شبکه و اجرای ابزارهای استخراجکننده نظیر XMRig میکند.
بر اساس گزارشی که شرکت سیسکو در خردادماه منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایشیافته، در حال تکامل امکانات انتشار این بدافزار بودهاند. ازجمله این تغییرات میتوان به برقراری ارتباطات متفاوت با سرور فرماندهی (C۲) و افزوده شدن قابلیت سوءاستفاده از آسیبپذیریهایی علاوه بر موارد پیشین اشاره کرد.
دستگاههای آلوده بهFreakOut ، دستگاههای دیگر را بر اساس نشانیهایی که بهصورت تصادفی استخراج شدهاند یا نشانیهایی که از سوی سرور فرماندهی در بستر IRC ارسال میشوند شناسایی میکنند. بهازای هر IP استخراج شده، دستگاه آلوده تلاش میکند تا با بهکارگیری یکی از اکسپلویتهای خود یا اطلاعات اصالتسنجی SSH درج شده در کد بدافزار، به آن نفوذ کند.
نسخ اولیه FreakOut تنها آسیبپذیریهای زیر را هدف قرار میدادند:
- Lifearay – Liferay Portal – Java Unmarshalling via JSONWS RCE
- Laravel RCE (CVE-۲۰۲۱-۳۱۲۹)
- WebLogic RCE (CVE-۲۰۲۰-۱۴۸۸۲)
- TerraMaster TOS
- Laminas Project laminas-http before ۲,۱۴.۲, & Zend Framework ۳,۰.۰
اما در نسخ جدید موارد زیر نیز به این فهرست افزوده شدهاند:
- VestaCP — VestaCP ۰,۹.۸ – ‘v_sftp_licence’ Command Injection
- ZeroShell ۳,۹.۰ — ‘cgi-bin/kerbynet’ Remote Root Command Injection
- SCO Openserver ۵,۰.۷ — ‘outputform’ Command Injection
- Genexis PLATINUM ۴۴۱۰ ۲,۱ P۴۴۱۰-V۲-۱.۲۸ — Remote Command Execution vulnerability
- OTRS ۶,۰.۱ — Remote Command Execution vulnerability
- VMWare vCenter — Remote Command Execution vulnerability
- Nrdh.php remote code execution
در فهرست بالا، آسیبپذیری CVE-۲۰۲۱-۲۱۹۷۲ در VMware vCenter بیش از سایر موارد جلبتوجه میکند. این آسیبپذیری در اسفند ۱۳۹۹ وصله شد. اما بر اساس آمار سایتهایی همچون Shodan و BinaryEdge، هزاران سرور vCenter آسیبپذیر همچنان در بستر اینترنت قابلدسترس هستند.
پیشتر و در پی انتشار POC آن نیز گزارشهایی مبنیبر پویش انبوه سرورهای آسیبپذیر vCenter منتشر شده بود. برخی نهادها هم قبلاً در خصوص مورد سوءاستفاده قرارگرفتن CVE-۲۰۲۱-۲۱۹۷۲ توسط مهاجمان هشدار داده بودند.
در موارد متعددی در جریان حملات هدفمند باجافزاری آسیبپذیریهای VMware تحت کنترل مهاجمان درآمدهاند. اعمال فوری وصلهها و بهروزرسانیهای امنیتی بهتمامی راهبران توصیه میشود.
منبع : مرکز مدیریت راهبردی افتا
