کشف بدافزار در سرورهای Apache Tomcat

کمیته رکن چهارم – محققان امنیت سایبری یک بدافزار در سرورهای Apache Tomcat کشف کرده‌اند.

محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای بات‌نت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال می‌پردازند.

Apache Tomcat، یک سرور رایگان و منبع باز می‌باشد که از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP را ارائه می‌کند و به طور گسترده در Cloud، Big data وWebsite استفاده می‌شود.

Aqua طی دو سال، بیش از ۸۰۰ حمله به هانی‌پات‌های سرور Tomcat خود شناسایی کرد که ۹۶ درصد این حملات از طریق بات‌نت Mirai صورت گرفته‌ است؛ از بین این حملات،۲۰ درصد (۱۵۲مورد) آن‌ها از شل اسکریپت ” neww” و ۲۴ آی‌پی استفاده کرده‌اند و ۶۸ درصد نیز از آی‌پی ۱۰۴٫۲۴۸٫۱۵۷[.]۲۱۸٫ حملات خود را انجام داده‌اند. بدافزار مذکور از هاست‌های آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده می‌کند.

مهاجم پس از ورود موفقیت‌آمیز، یک فایل WAR را با وب‌شل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکان‌پذیر می‌کند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww می‌باشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده می‌کنید:

فایل WAR حاوی فایل‌های ضروری برنامه‌های کاربردی تحت‌وب از جمله HTML، CSS، Servlets و Classes می‌باشد.

در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ می‌کند، وب‌شل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز می‌کند. شایان ذکر است که یافته‌ها حاکی از استخراج ارزهای دیجیتال با افزایش ۳۹۹ درصدی و ۳۳۲ میلیون حمله cryptojacking در سراسر جهان در نیمه اول سال ۲۰۲۳ می‌باشد.

این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار می‌دهد.

تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه می‌کنند:

  • اطمینان از پیکربندی صحیح تمام محیط‌ها و ابزارها
  •  اطمینان از اسکن مکرر محیط‌های خود در برابر تهدیدات ناشناخته
  •  توانمندسازی توسعه‌دهندگان، DevOps و تیم‌های امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیب‌پذیری‌ها و بررسی پیکربندی‌های نادرست
  •  استفاده از راه‌حل‌ها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آن‌ها

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.