فایروال Juniper و Openfire و Apache RocketMQ تحت حمله اکسپلویت‌های جدید

خداحافظی با افزونه‌های مخرب؛ گوگل دست‌به‌کار شد

اخبار

فایروال Juniper و Openfire و Apache RocketMQ تحت حمله اکسپلویت‌های جدید

فایروال Juniper و Openfire و Apache RocketMQ تحت حمله اکسپلویت‌های جدید

بر اساس گزارش‌های متعدد، نقص‌های امنیتی که تازه فاش شده‌اند، بر فایروال‌های Juniper، Openfire و Apache RocketMQ تاثیر می‌گذارند و در حال بهره‌برداری فعال در فضای سایبری قرار‌گرفته‌اند.


مجموعه Shadowserver گفت که "از همان روزی که PoC در دسترس قرار گرفت، در حال مشاهده تلاش‌هایی در راستای بهره‌برداری از چندین IP برای Juniper J-Web CVE-2023-36844 (و سایرین) است که اندپوینت /webauth_operation. php را هدف قرار می‌دهند.

مشکلاتی که با عنوان CVE-2023-36844، CVE-2023-36845، CVE-2023-36846 و CVE-2023-36847 رد‌یابی می‌شوند، در کامپوننت J-Web سیستم‌عامل Junos در سری Juniper SRX و EX قرار دارند. آنها می‌توانند توسط یک مهاجم متصل بر شبکه احراز هویت نشده پیوند برقرار کنند تا کد دلخواه را روی تجهیزات حساس اجرا کنند.

پچ‌های مربوط به این نقص در 17 آگوست 2023 منتشر شد و یک هفته پس‌از‌آن آزمایشگاه watchTowr یک اثبات مفهوم (PoC) را با ترکیب CVE-2023-36846 و CVE-2023-36845 برای اجرای یک فایل PHP حاوی shellcode مخرب منتشر کرد.

در حال حاضر، بیش از 8200 دستگاه Juniper وجود دارد که اینترفیس‌های J-Web آنها متصل به اینترنت است، و اکثر آنها از کره جنوبی، ایالات متحده، هنگ کنگ، اندونزی، ترکیه و هند هستند.

بهره‌برداری Kinsing از آسیب‌پذیری Openfire
‌آسیب‌پذیری دیگری که توسط عوامل تهدید مورد استفاده قرار‌گرفته است، CVE-2023-32315 می‌باشد، که یک باگ پیمایش مسیر با شدت بالا در کنسول ادمین Openfire و می‌تواند برای اجرای کد از راه دور مورد استفاده قرار گیرد.

شرکت امنیت ابری Aqua گفت: "این نقص به یک کاربر غیرمجاز اجازه می‌دهد تا از محیط راه اندازی Openfire احراز هویت نشده در یک پیکربندی Openfire تثبیت و اصلاح شده، سواستفاده کند".

شرکت آکوا در ادامه می‌گوید: "در نتیجه، یک عامل تهدید به فایل‌های راه‌اندازی ادمین دسترسی پیدا می‌کند که معمولا در کنسول Openfire Admin محدود شده‌اند. در مرحله بعد، عامل تهدید می‌تواند بین اضافه کردن یک کاربر ادمین به کنسول یا آپلود یک افزونه که در‌نهایت اجازه کامل را برای کنترل روی سرور را می‌دهد، یکی را انتخاب کند".

takian.ir juniper firewalls openfire and apache rocketmq 2
‌طبق مشاهدات، عوامل تهدید مرتبط با بات‌نت بدافزار Kinsing از این نقص برای ایجاد یک کاربر ادمین جدید و آپلود یک فایل JAR استفاده می‌کنند که حاوی فایلی به نام cmd. jsp است و به‌عنوان یک web shell برای حذف و اجرای بدافزار و یک ماینر ارز دیجیتال عمل می‌کند.

آکوا گفت 6419 سرور متصل به اینترنت با سرویس Openfire در حال اجرا پیدا کرده است که اکثر موارد در چین، ایالات متحده، ایران و برزیل قرار دارند.

آسیب‌پذیری Apache RocketMQ توسط بات‌نت DreamBus
‌در نشانه‌ای از اینکه عوامل تهدید همیشه به‌دنبال نقص‌های جدید برای بهره‌برداری هستند، یک نسخه به‌روز شده از بدافزار بات‌نت DreamBus مشاهده شده است که از آسیب‌پذیری اجرای کد از راه دور با شدت بحرانی در سرور‌های RocketMQ برای به خطر انداختن دستگاه‌ها بهره می‌برد.

نقص CVE-2023-33246، همانطور که مستند شده است، یک نقص اجرای کد از راه دور است که بر روی RocketMQ نسخه 5.1.0 و پایین‌تر تاثیر می‌گذارد که به یک مهاجم احراز هویت نشده اجازه می‌دهد دستوراتی را با سطح دسترسی مشابه فرآیند کاربر سیستم اجرا کند.

takian.ir juniper firewalls openfire and apache rocketmq 3
‌در حملات شناسایی شده توسط Juniper Threat Labs از 19 ژوئن 2023، بهره‌برداری موفقیت‌آمیز از این نقص، راه را برای استقرار یک اسکریپت bash به نام "reketed" هموار می‌کند، که به‌عنوان دانلود کننده بات نت DreamBus از یک سرویس مخفی TOR عمل می‌کند.

بدافزار DreamBus، یک بدافزار مبتنی بر لینوکس است که گونه‌ای از SystemdMiner بوده و برای استخراج ارز‌های دیجیتال در سیستم‌های آلوده مهندسی شده است. این بدافزار از اوایل سال 2019 فعال می‌باشد و مشخص شده است که به طور خاص با سواستفاده از آسیب‌پذیری‌های اجرای کد از راه دور منتشر می‌شود.

پاول کیمایونگ، محقق امنیتی، گفت: "به عنوان بخشی از روال نصب، بدافزار فرآیند‌ها را خاتمه می‌دهد و فایل‌های مرتبط با نسخه‌های قدیمی خود را حذف می‌کند".

وی افزود: "با این حال، وجود یک بات ماژولار مانند بدافزار DreamBus مجهز به توانایی اجرای اسکریپت‌های bash این امکان را برای این مجرمان سایبری فراهم می‌کند تا فهرست حملات خود را متنوع کنند، از‌جمله نصب انواع دیگر بدافزار‌ها.

بهره‌برداری از Cisco ASA SSL VPN برای استقرار باج افزار Akira
‌این تحولات در بحبوحه هشدار شرکت امنیت سایبری Rapid7 مبنی بر افزایش فعالیت تهدیدات مربوط به مارس 2023 و هدف قرار دادن دستگاه‌های Cisco ASA SSL VPN به‌منظور استقرار باج‌افزار Akira صورت می‌گیرد.

این شرکت گفت: "در حالی که برخی از موارد مستلزم استفاده از اصطلاحا Stuffing اعتبارنامه است، فعالیت در برخی دیگر "به نظر می‌رسد که نتیجه حملات brute-force هدفمند به‌دستگاه‌های ASA باشد که در آن احراز هویت چند عاملی (MFA) یا فعال نشده است یا برای همه کاربران اجرا نشده است".

takian.ir juniper firewalls openfire and apache rocketmq 4
‌سیسکو این حملات را تایید کرده و خاطرنشان کرده است که عاملان تهدید همچنین می‌توانند اعتبارنامه‌های سرقت شده را از دارک‌وب برای نفوذ به سازمان‌ها خریداری کنند.

این فرضیه با این واقعیت تقویت می‌شود که یک واسطه دسترسی اولیه به نام Bassterlord کشف شد، که در اوایل فوریه امسال راهنمای نفوذ به شبکه‌های شرکتی را در انجمن‌های زیرزمینی می‌فروخت.

مجموعه Rapid7 گفت: "قابل ذکر است که نویسنده ادعا کرده است که 4865 سرویس Cisco SSL VPN و 9870 سرویس VPN Fortinet را با نام کاربری/رمز عبور test به خطر انداخته است".

این شرکت افزود: "ممکن است با توجه به زمان بحث دارک‌وب و افزایش فعالیت تهدیدی که مشاهده کردیم، دستورالعمل‌های راهنما در راستای افزایش حملات brute force، به هدف قرار دادن Cisco ASA VPN کمک کرده است".

افشاگری‌ها همچنین از آنجایی منتشر می‌شوند که دستگاه‌های Citrix NetScaler ADC و Gateway پچ‌نشده در معرض خطر حملات فرصت‌طلبانه مهاجمان باج‌افزاری هستند که از یک نقص مهم در محصولات برای مستقر کردن web shell‌ها و سایر payload‌ها استفاده می‌کنند.

 

 

 

 

 

 

 

 

 

 

 

 



نظرات کاربران
ارسال نظر