‫‏‫افزایش چشمگیر حملات به سرورهای MSSQL

در سراسر جهان از جمله کشور ایران، شرکت‌ها و سازمان‌های بی‌شماری از سرویس SQL مایکروسافت به منظور مدیریت پایگاه داده خود استفاده می‌کنند. با این حال این دیتابیس محبوب در صورتی که به درستی محافظت نشود و یا از نسخه‌های آسیب‌پذیر آن استفاده شود، یکی از اهداف مورد علاقه نفوذگران جهت به دست آوردن دسترسی اولیه (Initial Access) به شبکه و یا جابه‌جایی در شبکه (Lateral Movement) است. مهاجمان عموما با سوء استفاده از آسیب‌پذیری‌های موجود اقدام به اجرای بدافزار بر روی این سرورها می‌نمایند. بر اساس آمارهای به دست آمده، بخش وسیعی از این بدافزارها را ماینرها و باج‌افزارها تشکیل می‌دهند.

شرح یک حمله

بر اساس بررسی‌های صورت گرفته، به طور خلاصه زنجیره این گونه حملات به شرح زیر می‌باشد:

1. شروع حمله از این قرار است که نفوذگران به طور معمول اقدام به یافتن سرورهای MSSQL در دسترس از طریق اینترنت می‌نمایند. این فرآیند می‌تواند با اسکن پورت پیش‌فرض MSSQL یعنی 1433 صورت پذیرد.
2. پس از یافتن سرورهای مورد نظر یکی از ۲ حالت زیر رخ میدهد:
   • در صورت وجود آسیب‌پذیری، نفوذگر این آسیب‌پذیری را مورد سو استفاده (Exploit) قرار داده و دسترسی خود را به سیستم میسر می‌سازد.
   • در صورت عدم یافتن آسیب‌پذیری، نفوذگر با استفاده از حملات Brute force اقدام به یافتن گذر واژه حساب کاربری ادمین می‌کنند.
3. پس از  به دست آمدن دسترسی اولیه، نفوذگر با استفاده از قابلیت‌های MSSQL اقدام به اجرای دستورات مخرب (Execution) بر روی سرور می‌کند.
4. بنابر مشاهده‌های مرکز کشف و پاسخ به تهدیدهای سایبری پادویش (Padvish MDR) استفاده از خانواده بدافزاری JuicyPotato جهت ارتقا سطح دسترسی محلی (Local Privilege Escalation) در بین نفوذگران بسیار شایع است.
5. در انتها اقداماتی هم‌چون اجرای باج‌افزار و در برخی موارد استقرار ماینر صورت می‌پذیرد.

راهکارهای مقابله‌ای

به منظور حفاظت از سرورهای MSSQL اقدامات زیر را در دستور کار خود قرار دهید:

✅ هرگز پورت‌های 1433/1434 سرور MSSQL خود را بدون محافظت فایروال در اینترنت و در دسترس عموم قرار ندهید و تا حد امکان جهت برقراری ارتباطات از راه دور با چنین سرورهایی از VPN داخلی بهره بگیرید.

✅ از گذر واژه‌های پیچیده برای حساب کاربری ادمین استفاده نمایید و در بازه‌های زمانی تعریف شده، گذرواژه‌ها را تغییر دهید.

✅ توصیه می‌شود به‌روزرسانی‌های امنیتی را پیوسته اعمال کنید.

✅ با توجه به افزایش چشمگیر حملات سایبری و به منظور اطمینان از امنیت شبکه و سیستم‌های در معرض خطر، پیشنهاد می‌شود ضمن رعایت توصیه‌های امنیتی، به جهت مقابله با حملات سایبری و تهدیدات پیشرفته پایدار از محصول پادویش نسخه کشف و پاسخ به حملات سایبری یا Padvish MDR استفاده نمایید.