اصلاحیه‌ها و آسیب‌پذیری‌ها

سوء استفاده گروه باج افزاری Clop از آسیب پذیری SolarWinds

Clop gang exploiting SolarWinds Serv-U flaw in ransomware attacks

گروه باج افزاری Clop که با نام‌های TA505 و FIN11 نیز شناخته می‌شود، در حال بهره‌برداری از آسیب‌پذیری Serv-U برای نفوذ به شبکه‌های سازمانی و در نهایت رمز کردن سیستم‌ها هستند.

آسیب‌پذیری اجرای کد از راه دور Serv-U Secure FTP و Serv-U Managed File Transfer که با شناسه CVE-20210-35211 شناخته می‌شود، به مهاجمان از راه دور اجازه اجرای فرمان را‌ در سیستم آسیب‌پذیر با افزایش سطح دسترسی می‌دهد.

شرکت SolarWinds یک به روزرسانی امنیتی اضطراری را در ماه ژولای سال جاری میلادی و پس از افشای سوءاستفاده از این آسیب‌پذیری توسط مجرمان سایبری، ارائه کرد. همچنین، اخطار داد که این آسیب‌پذیری تنها بر روی سیستم‌هایی اثرگذار است که قابلیت SSH را فعال کرده‌اند که معمولاً برای محافظت بیشتر از اتصالات به سرور FTP استفاده می‌شود.

آسیب‌پذیری‌های به کار رفته در حملات باج‌افزاری

بر اساس گزارش جدید که از سوی گروه NCC ارائه شده، افزایشی در حملات گروه Clop در هفته‌های اخیر مشاهده شده است که غالبا از این آسیب‌پذیری استفاده کرده‌اند.

در حالی که گروه باج‌افزاری Clop به استفاده از آسیب‌پذیری‌هایی چون Accellion Zero-day معروف‌اند، محققان بیان کردند که آنها غالبا از ایمیل‌های فیشینگ با پیوست‌های بدافزاری برای نفوذ به شبکه استفاده می‌کنند.

در حملات جدید مشاهده شده توسط NCC، مهاجمان از آسیب‌پذیری Serv-U برای ایجاد یک فرآیند فرعی بهره‌برداری می‌کنند که در نتیجه قادر به اجرای دستورات بر روی سیستم هدف خواهند بود. این موضوع راه را برای استقرار بدافزار، شناسایی شبکه و حرکات جانبی باز کرده و در نهایت زمینه را برای حملات باج افزاری فراهم می‌کند.

مشخصه سوء استفاده از این نقص، خطاهای استثنا در گزارش‌های Serv-U است که هنگام سوء استفاده از آسیب‌پذیری ایجاد می‌شود.

خطای استثنا مشابه رشته زیر خواهد بود:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

نشانه دیگر استفاده از این آسیب‌پذیری نیز ردپای اجرای دستورات PowerShell است که برای استقرار Cobalt Strike در سیستم آسیب‌پذیر به کار می‌رود.

گروه NCC چک لیست زیر را برای ادمین‌هایی که به شبکه خود مشکوک هستند ارائه کرده است:

  • بررسی کنید که آیا نسخه Serv-U شما آسیب‌پذیر است یا خیر
  • DebugSocketlog.txt را در سیستم پیدا کنید
  • به دنبال داده‌های ورودی مانند ‘;()EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive’ در لاگ باشید
  • شناسه رویداد 4104 را در گزارش‌های رویداد ویندوز پیرامون تاریخ/زمان استثنا بررسی کنید و به دنبال دستورات مشکوک PowerShell بگردید.
  • با استفاده از دستور PowerShell وجود یک برنامه زمان‌بندی شده به سرقت رفته به نام RegIdleBackup را بررسی کنید.
  • در صورت سوء استفاده، CLSID در قسمت نگهدارنده COM نباید روی {CA767AA8-9157-4604-B64B-40747123D5F2} تنظیم شود
  • اگر برنامه زمان‌بندی‌ شده شامل CLSID متفاوتی بود، محتویات CLSID object را در رجیستری و با استفاده از دستورات PowerShell ارائه شده بررسی کنید، رشته‌های کدگذاری شده Base64 برگردانده شده می‌تواند نشانگر نفوذ و هک دستگاه باشد.

علیرغم هشدارهای متعدد برای اعمال به‌روزرسانی‌های امنیتی، بسیاری از سرورهای آسیب‌پذیر Serv-U همچنان در دسترس عموم می‌باشند. بیشترین موارد آسیب پذیر Serv-U FTP در چین و ایالات متحده نیز در رتبه دوم قرار دارد. 

تقریباً چهار ماه از انتشار به‌روزرسانی امنیتی SolarWinds برای این آسیب‌پذیری می‌گذرد، اما درصد سرورهای Serv-U آسیب‌پذیر بالای 60 درصد باقی مانده است. طبق گزارش محققان، در ماه ژولای 94% (5945 سیستم) از تمام سرویس‌های Serv-U (S)FTP شناسایی شده در پورت 22 آسیب‌پذیر بوده‌اند. در اکتبر و سه ماه پس از ارائه وصله‌های امنیتی، شمار این آسیب‌پذیری‌ها همچنان قابل توجه بوده و 66.5% (2784 سیستم) بوده است.

مطالب مرتبط

security

روز صفر خطرناک CVE-2024-43451 تحت اکسپلویت فعال

microsoft patch tuesday

اصلاحیه‌های امنیتی مایکروسافت – نوامبر 2024

Microsoft Patch Tuesday

اصلاحیه‌های امنیتی مایکروسافت – اکتبر 2024