کمیته رکن چهارم – محققان امنیتی فهرستی آسیبپذیریهایی را که در یک سال اخیر برای نفوذ به شبکه قربانیان مورد سوءاستفاده مهاجمان سایبری قرار گرفته است ارائه دادهاند.
تهیه این فهرست با فراخوان یکی از محققان تیم واکنش حوادث امنیت رایانه (Computer Security Incident Response Team) شرکت رکوردد فیوچر (.Recorded Future, Inc) در توییتر آغاز شد. با ملحق شدن محققان دیگر به این کارزار، این فهرست بهسرعت تکمیل شد. این فهرست شامل ضعفهای امنیتی موجود در بیش از دوازده محصول ساخت شرکتهای مطرح فناوری اطلاعات است.
به گفته محققان امنیتی، این ضعفهای امنیتی توسط برخی گروههای باجافزاری در حملات گذشته و جاری مورد سوءاستفاده قرار گرفتهاند و احتمال میرود همچنان در آینده نیز مورد بهرهبرداری قرار گیرند. بهعبارتدیگر، این آسیبپذیریها، ضعفهایی هستند که بهصورت فعال از آنها سوءاستفاده میشود.
گروههای باجافزاری به طور مستمر در حال بهرهبرداری از آسیبپذیریهای جدید هستند. بهعنوانمثال، در هفتههای اخیر، برخی گردانندگان خدمات “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – بهاختصار RaaS)، سوءاستفاده از ضعف امنیتی موجود در MSHTML به شناسه CVE-۲۰۲۱-۴۰۴۴۴ را برای “اجرای کد از راه دور” در نسخههای مختلف سیستمعامل Windows در دستور کار خود قرار دادهاند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال کرده و کاربر را متقاعد میکند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیبپذیری موجود در MSHTML سوءاستفاده میکند. البته مایکروسافت این آسیبپذیری را در اصلاحیه ماه سپتامبر خود برطرف کرده است.
در اوایل شهریور، باجافزار Conti نیز سرورهای Exchange را هدف قرارداد و با سوءاستفاده از مجموعه آسیبپذیریهای ProxyShell (با شناسههای CVE-۲۰۲۱-۳۴۴۷۳، CVE-۲۰۲۱-۳۴۵۲۳ و CVE-۲۰۲۱-۳۱۲۰۷) به شبکه سازمانهای مختلفی نفوذ کرد.
در اواسط تابستان، LockFile از آسیبپذیریهای ProxyShell در سرورهای Exchange و آسیبپذیریهای PetitPotam در Windows برای تسخیر دامنههای Windows و رمزگذاری دستگاهها سوءاستفاده کردند.
مگنیبر (Magniber) نیز سوءاستفاده از ضعف امنیتی PrintNightmare به شناسه CVE-۲۰۲۱-۳۴۵۲۷ را در کارنامه دارد.
در نمونهای دیگر eCh۰raix نیز با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ تجهیزات NAS ساخت شرکتهای کیونپ (QNAP) و ساینالوژی (Synology) را مورد هدف قرار داده است.
باجافزار HelloKitty نیز در تیرماه، تجهیزات آسیبپذیر SonicWall را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۹-۷۴۸۱ مورد هدف قرارداد. در همین ماه مهاجمان REvil با سوءاستفاده از آسیبپذیریهای “روز – صفر” Kaseya (به شناسههای CVE-۲۰۲۱-۳۰۱۱۶، CVE-۲۰۲۱-۳۰۱۱۹ و CVE-۲۰۲۱-۳۰۱۲۰)، مشتریان شرکت کاسیا (Kaseya) را که از محصول Kaseya VSA استفاده میکردند هدف حملات گستردهای قرار دادند. در جریان این حملات، ۶۰ شرکت ارائهدهنده خدمات پشتیبانی (Managed Service Provider – بهاختصار MSP) و بیش از ۱۵۰۰ کسبوکار در سراسر جهان مورد حمله و رمزگذاری قرار گرفتند.
باجافزار FiveHands نیز از ضعف امنیتی موجود در تجهیزات SonicWall به شناسه CVE-۲۰۲۱-۲۰۰۱۶ قبل از این که در اواخر سال ۱۳۹۹ وصله شود، سوءاستفاده کرد.
شرکت کیونپ در فروردینماه، در خصوص حملات باجافزار AgeLocker از طریق سوءاستفاده از ضعف امنیتی “روز – صفر” در ثابت افزارهای (Firmware) قدیمی تجهیزات NAS ساخت این شرکت هشدار داد. درست همانطور که یک گروه بزرگ باجافزاری به نام Qlocker، تجهیزات ساخت شرکت کیونپ را که ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ در آن¬ها وصله نشده بود، هدف حمله قرارداد.
در همان ماه، پس از هشدار مشترک FBI و CISA مبنی بر اینکه مهاجمان در حال اسکن تجهیزات آسیبپذیر ساخت شرکت فورتی نت (Fortinet) هستند، باجافزار Conti رمزگذاری دستگاههای آسیبپذیر VPN فورتی نت مربوط به بخش صنعتی را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۸-۱۳۳۷۹ آغاز کرد.
در اسفند سال نود و نه، سرورهای Exchange در سراسر جهان مورد حمله Black Kingdom قرار گرفتند و باجافزار Dearcry نیز در موج گستردهای از حملات خود سیستمهای بدون وصله را از طریق آسیبپذیری ProxyLogon با شناسههای CVE-۲۰۲۱-۲۶۸۵۵، CVE-۲۰۲۱-۲۶۸۵۷ و CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ مورد هدف قرارداد و در آخر اینکه از اواسط آذر سال ۹۹ تا دیماه ۹۹، باجافزار Clop با سوءاستفاده از ضعفهای امنیتی به شناسه CVE-۲۰۲۱-۲۷۱۰۱، CVE-۲۰۲۱-۲۷۱۰۲ ، CVE-۲۰۲۱-۲۷۱۰۳ و CVE-۲۰۲۱-۲۷۱۰۴ به سرورهای Accellion حمله کرد.
محققان همواره در تلاش هستند که حملات باجافزاری که سالهاست بخشهای خصوصی و عمومی جهان را درگیر کرده است، بیاثر کنند.
منبع : مرکز مدیریت راهبردی افتا
