فایروال Juniper و Openfire و Apache RocketMQ تحت حمله اکسپلویتهای جدید
اخبار داغ فناوری اطلاعات و امنیت شبکه
بر اساس گزارشهای متعدد، نقصهای امنیتی که تازه فاش شدهاند، بر فایروالهای Juniper، Openfire و Apache RocketMQ تاثیر میگذارند و در حال بهرهبرداری فعال در فضای سایبری قرارگرفتهاند.
مجموعه Shadowserver گفت که "از همان روزی که PoC در دسترس قرار گرفت، در حال مشاهده تلاشهایی در راستای بهرهبرداری از چندین IP برای Juniper J-Web CVE-2023-36844 (و سایرین) است که اندپوینت /webauth_operation. php را هدف قرار میدهند.
مشکلاتی که با عنوان CVE-2023-36844، CVE-2023-36845، CVE-2023-36846 و CVE-2023-36847 ردیابی میشوند، در کامپوننت J-Web سیستمعامل Junos در سری Juniper SRX و EX قرار دارند. آنها میتوانند توسط یک مهاجم متصل بر شبکه احراز هویت نشده پیوند برقرار کنند تا کد دلخواه را روی تجهیزات حساس اجرا کنند.
پچهای مربوط به این نقص در 17 آگوست 2023 منتشر شد و یک هفته پسازآن آزمایشگاه watchTowr یک اثبات مفهوم (PoC) را با ترکیب CVE-2023-36846 و CVE-2023-36845 برای اجرای یک فایل PHP حاوی shellcode مخرب منتشر کرد.
در حال حاضر، بیش از 8200 دستگاه Juniper وجود دارد که اینترفیسهای J-Web آنها متصل به اینترنت است، و اکثر آنها از کره جنوبی، ایالات متحده، هنگ کنگ، اندونزی، ترکیه و هند هستند.
بهرهبرداری Kinsing از آسیبپذیری Openfire
آسیبپذیری دیگری که توسط عوامل تهدید مورد استفاده قرارگرفته است، CVE-2023-32315 میباشد، که یک باگ پیمایش مسیر با شدت بالا در کنسول ادمین Openfire و میتواند برای اجرای کد از راه دور مورد استفاده قرار گیرد.
شرکت امنیت ابری Aqua گفت: "این نقص به یک کاربر غیرمجاز اجازه میدهد تا از محیط راه اندازی Openfire احراز هویت نشده در یک پیکربندی Openfire تثبیت و اصلاح شده، سواستفاده کند".
شرکت آکوا در ادامه میگوید: "در نتیجه، یک عامل تهدید به فایلهای راهاندازی ادمین دسترسی پیدا میکند که معمولا در کنسول Openfire Admin محدود شدهاند. در مرحله بعد، عامل تهدید میتواند بین اضافه کردن یک کاربر ادمین به کنسول یا آپلود یک افزونه که درنهایت اجازه کامل را برای کنترل روی سرور را میدهد، یکی را انتخاب کند".
طبق مشاهدات، عوامل تهدید مرتبط با باتنت بدافزار Kinsing از این نقص برای ایجاد یک کاربر ادمین جدید و آپلود یک فایل JAR استفاده میکنند که حاوی فایلی به نام cmd. jsp است و بهعنوان یک web shell برای حذف و اجرای بدافزار و یک ماینر ارز دیجیتال عمل میکند.
آکوا گفت 6419 سرور متصل به اینترنت با سرویس Openfire در حال اجرا پیدا کرده است که اکثر موارد در چین، ایالات متحده، ایران و برزیل قرار دارند.
آسیبپذیری Apache RocketMQ توسط باتنت DreamBus
در نشانهای از اینکه عوامل تهدید همیشه بهدنبال نقصهای جدید برای بهرهبرداری هستند، یک نسخه بهروز شده از بدافزار باتنت DreamBus مشاهده شده است که از آسیبپذیری اجرای کد از راه دور با شدت بحرانی در سرورهای RocketMQ برای به خطر انداختن دستگاهها بهره میبرد.
نقص CVE-2023-33246، همانطور که مستند شده است، یک نقص اجرای کد از راه دور است که بر روی RocketMQ نسخه 5.1.0 و پایینتر تاثیر میگذارد که به یک مهاجم احراز هویت نشده اجازه میدهد دستوراتی را با سطح دسترسی مشابه فرآیند کاربر سیستم اجرا کند.
در حملات شناسایی شده توسط Juniper Threat Labs از 19 ژوئن 2023، بهرهبرداری موفقیتآمیز از این نقص، راه را برای استقرار یک اسکریپت bash به نام "reketed" هموار میکند، که بهعنوان دانلود کننده بات نت DreamBus از یک سرویس مخفی TOR عمل میکند.
بدافزار DreamBus، یک بدافزار مبتنی بر لینوکس است که گونهای از SystemdMiner بوده و برای استخراج ارزهای دیجیتال در سیستمهای آلوده مهندسی شده است. این بدافزار از اوایل سال 2019 فعال میباشد و مشخص شده است که به طور خاص با سواستفاده از آسیبپذیریهای اجرای کد از راه دور منتشر میشود.
پاول کیمایونگ، محقق امنیتی، گفت: "به عنوان بخشی از روال نصب، بدافزار فرآیندها را خاتمه میدهد و فایلهای مرتبط با نسخههای قدیمی خود را حذف میکند".
وی افزود: "با این حال، وجود یک بات ماژولار مانند بدافزار DreamBus مجهز به توانایی اجرای اسکریپتهای bash این امکان را برای این مجرمان سایبری فراهم میکند تا فهرست حملات خود را متنوع کنند، ازجمله نصب انواع دیگر بدافزارها.
بهرهبرداری از Cisco ASA SSL VPN برای استقرار باج افزار Akira
این تحولات در بحبوحه هشدار شرکت امنیت سایبری Rapid7 مبنی بر افزایش فعالیت تهدیدات مربوط به مارس 2023 و هدف قرار دادن دستگاههای Cisco ASA SSL VPN بهمنظور استقرار باجافزار Akira صورت میگیرد.
این شرکت گفت: "در حالی که برخی از موارد مستلزم استفاده از اصطلاحا Stuffing اعتبارنامه است، فعالیت در برخی دیگر "به نظر میرسد که نتیجه حملات brute-force هدفمند بهدستگاههای ASA باشد که در آن احراز هویت چند عاملی (MFA) یا فعال نشده است یا برای همه کاربران اجرا نشده است".
سیسکو این حملات را تایید کرده و خاطرنشان کرده است که عاملان تهدید همچنین میتوانند اعتبارنامههای سرقت شده را از دارکوب برای نفوذ به سازمانها خریداری کنند.
این فرضیه با این واقعیت تقویت میشود که یک واسطه دسترسی اولیه به نام Bassterlord کشف شد، که در اوایل فوریه امسال راهنمای نفوذ به شبکههای شرکتی را در انجمنهای زیرزمینی میفروخت.
مجموعه Rapid7 گفت: "قابل ذکر است که نویسنده ادعا کرده است که 4865 سرویس Cisco SSL VPN و 9870 سرویس VPN Fortinet را با نام کاربری/رمز عبور test به خطر انداخته است".
این شرکت افزود: "ممکن است با توجه به زمان بحث دارکوب و افزایش فعالیت تهدیدی که مشاهده کردیم، دستورالعملهای راهنما در راستای افزایش حملات brute force، به هدف قرار دادن Cisco ASA VPN کمک کرده است".
افشاگریها همچنین از آنجایی منتشر میشوند که دستگاههای Citrix NetScaler ADC و Gateway پچنشده در معرض خطر حملات فرصتطلبانه مهاجمان باجافزاری هستند که از یک نقص مهم در محصولات برای مستقر کردن web shellها و سایر payloadها استفاده میکنند.
برچسب ها: Cisco ASA VPN, Stuffing, Cisco ASA SSL VPN, Akira, SystemdMiner, reketed, RocketMQ, DreamBus, Apache RocketMQ, Openfire, CVE-2023-36846, CVE-2023-36847, CVE-2023-36844, CVE-2023-36845, Bassterlord, J-Web, Kinsing, Exploit, Junos, Juniper, Fortinet, اکسپلویت, malware, فایروال juniper, ransomware , Cyber Security, جاسوسی سایبری, فایروال, Botnet, باج افزار, firewall, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news