فهرست
  1. صفحه نخست
  2. مقالات اخبار

آژانس فدرال توسط 2 گروه هک شد !

تاریخ انتشار 27 اسفند 1401
دسته بندی

یک اشکال code-execution با درجه شدت 9.8 کنترل شبکه آژانس را فراهم کرد :

دولت ایالات متحده هشدار داد که چندین عامل تهدید – یکی از آنها که به نمایندگی از یک دولت کار می کند ، با سوء استفاده از یک آسیب پذیری چهار ساله که اصلاح نشده باقی مانده بود، به شبکه یک آژانس فدرال ایالات متحده دسترسی پیدا کرد.

بر اساس مشاوره ای که به طور مشترک توسط آژانس امنیت سایبری و امنیت زیرساخت، FBI و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی منتشر شد، فعالیت های بهره برداری توسط یک گروه احتمالاً در آگوست 2021 و در آگوست گذشته توسط گروه دیگر آغاز شد. از نوامبر گذشته تا اوایل ژانویه، سرور نشانه هایی از سازش را نشان داد.

آسیب پذیری به مدت 4 سال شناسایی نشده است :

هر دو گروه از یک آسیب‌پذیری اجرای کد که به‌عنوان CVE-2019-18935 در یک ابزار توسعه‌دهنده به نام رابط کاربری Telerik (UI) برای ASP.NET AJAX ردیابی شده است، که در سرور وب سرویس‌های اطلاعات اینترنتی مایکروسافت (IIS) آژانس قرار داشت، سوء استفاده کردند. این مشاوره آژانس را شناسایی نکرد جز اینکه می‌گوید این آژانس یک شعبه اجرایی غیرنظامی فدرال زیر نظر CISA است .

رابط کاربری Telerik برای ASP.NET AJAX توسط شرکتی به نام Progress فروخته می شود که دفتر مرکزی آن در برلینگتون، ماساچوست و روتردام در هلند قرار دارد. این ابزار بیش از 100 مؤلفه رابط کاربری را در خود جای داده است که توسعه دهندگان می توانند از آنها برای کاهش زمان لازم برای ایجاد برنامه های کاربردی وب سفارشی استفاده کنند. در اواخر سال 2019، Progress نسخه 2020.1.114 را منتشر کرد که CVE-2019-18935 را اصلاح کرد، یک آسیب‌پذیری ناامن سریال‌زدایی که امکان اجرای کد از راه دور را بر روی سرورهای آسیب‌پذیر فراهم می‌کرد. این آسیب‌پذیری دارای امتیاز 9.8 از 10 ممکن است. در سال 2020 ، NSA هشدار داد که این آسیب‌پذیری توسط بازیگران تحت حمایت دولت چین مورد سوء استفاده قرار می‌گیرد.

مشاوره روز پنجشنبه توضیح داد: «این exploit که منجر به دسترسی تعاملی با وب سرور می‌شود، عاملان تهدید را قادر می‌سازد تا با موفقیت کد راه دور را روی وب سرور آسیب‌پذیر اجرا کنند. اگرچه اسکنر آسیب‌پذیری آژانس دارای پلاگین مناسب برای CVE-2019-18935 بود، اما به دلیل نصب نرم‌افزار Telerik UI در مسیر فایلی که معمولاً اسکن نمی‌کند، این آسیب‌پذیری را شناسایی نکرد. این ممکن است برای بسیاری از نصب‌های نرم‌افزاری صدق کند، زیرا مسیرهای فایل بسته به سازمان و روش نصب بسیار متفاوت است.

آسیب پذیری های اصلاح نشده بیشتر :

برای بهره‌برداری موفقیت‌آمیز از CVE-2019-18935، هکرها ابتدا باید از کلیدهای رمزگذاری مورد استفاده در مؤلفه‌ای به نام Telerik RadAsyncUpload آگاهی داشته باشند. بازرسان فدرال مشکوک هستند که عاملان تهدید از یکی از دو آسیب‌پذیری کشف‌شده در سال 2017 سوء استفاده کرده‌اند که در سرور آژانس نیز اصلاح نشده باقی مانده است.

حملات هر دو گروه از تکنیکی به نام بارگیری جانبی DLL استفاده کردند که شامل جایگزینی فایل‌های کتابخانه پیوند پویا قانونی در مایکروسافت ویندوز با فایل‌های مخرب است. برخی از فایل‌های DLL که گروه آپلود کرد، به‌عنوان تصاویر PNG مبدل شدند. سپس فایل های مخرب با استفاده از یک فرآیند قانونی برای سرورهای IIS به نام w3wp.exe اجرا شدند. بررسی لاگ های آنتی ویروس مشخص کرد که برخی از فایل های DLL آپلود شده در اوایل آگوست 2021 در سیستم وجود داشتند.

این مشاوره در مورد گروه تهدید تحت حمایت دولت ملت، به جز شناسایی آدرس‌های IP که برای میزبانی سرورهای فرمان و کنترل استفاده می‌کردند، چیز کمی بیان کرد. این گروه که در مشاوره روز پنجشنبه به آن TA1 گفته می شود، در اوت گذشته استفاده از CVE-2019-18935 را برای شمارش سیستم های داخل شبکه آژانس آغاز کرد. محققان 9 فایل DLL را شناسایی کردند که برای کاوش سرور و فرار از دفاع امنیتی استفاده می شد. فایل ها با یک سرور کنترل با آدرس IP 137.184.130[.]162 یا 45.77.212[.]12 ارتباط برقرار کردند. ترافیک این آدرس‌های IP از پروتکل Transmission Control Protocol (TCP)  روی پورت 443 استفاده می‌کرد. بدافزار عامل تهدید قادر بود کتابخانه‌های بیشتری را بارگیری کند و فایل‌های DLL را حذف کند تا فعالیت‌های مخرب در شبکه را پنهان کند.

این مشاوره به گروه دیگر به عنوان TA2 اشاره کرد و آن را به عنوان گروه XE معرفی کرد، که محققان شرکت امنیتی Volexity گفته اند که احتمالاً در ویتنام مستقر است. هم Volexity و هم شرکت امنیتی Malwarebytes گفته اند که این گروه با انگیزه مالی درگیر اسکیمینگ کارت پرداخت است.

در این توصیه نامه آمده است: «مانند TA1، TA2 از CVE-2019-18935 سوء استفاده کرد و توانست حداقل سه فایل DLL منحصر به فرد را در دایرکتوری \C:\Windows\Temp که TA2 از طریق فرآیند w3wp.exe اجرا می کرد، آپلود کند. «این فایل‌های DLL ابزارهای پوسته معکوس (از راه دور) را برای ارتباط رمزگذاری نشده با آدرس‌های IP C2 مرتبط با دامنه‌های مخرب حذف می‌کنند و اجرا می‌کنند.»

این نقض نتیجه عدم موفقیت شخصی در آژانس ناشناس در نصب وصله ای است که سال ها در دسترس بوده است. همانطور که قبلا ذکر شد، ابزارهایی که سیستم ها را برای آسیب پذیری ها اسکن می کنند، اغلب جستجوهای خود را به مجموعه خاصی از مسیرهای فایل از پیش تعریف شده محدود می کنند. اگر این می تواند در داخل یک آژانس فدرال اتفاق بیفتد، احتمالاً می تواند در داخل سازمان های دیگر نیز رخ دهد.

هرکسی که از رابط کاربری Telerik برای ASP.NET AJAX استفاده می‌کند، باید توصیه‌های پنجشنبه و همچنین Progress منتشر شده در سال ۲۰۱۹ را به دقت مطالعه کند تا مطمئن شود که در معرض خطر قرار نمی‌گیرد.

 

منبع : arstechnica.com

مطالب مرتبط
18 نقص روز صفر بر روی چیپست Exynos
Acronis نفوذ را کم اهمیت جلوه می دهد :
مسیر هموارتر 6G توسط یک ایرانی
ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نیاز به مشاوره با متخصص دارید؟

همین حالا تماس بگیرید
۹۱۰۹۰۳۸۸031
logo-samandehi
سازمان نظام صنفی رایانه ای کشور

درباره ما

گروه فنی مهندسی آرتاپرداز سپاهان فعالیت خود را از سال ۱۳۸۶ در زمینه اتوماسیون اداری و طراحی وب آغاز نموده و با هدف افزایش رضایت مشتریان دایره خدمات خود را جهت پوشش کامل نیاز مشتریان، جهت دریافت خدمات با کیفیت توام با پشتیبانی حرفه ای کامل نموده است.

اطلاعات تماس

آدرس:اصفهان خیابان فردوسی بن بست ۲۳ ساختمان میخک واحد ۱۱​
تلفن: ۰۳۱۹۱۰۹۰۳۸۸
ساعات کاری:۸:۳۰ الی ۱۷ و پنج شنبه ها ۱۳
زیلینک | گوگل

کلیه حقوق مادی و معنوی برای سایت آرتاپرداز محفوظ می باشد.