به تازگی یک آسیب‌‌‌پذیری بحرانی با شناسه CVE-2024-7150 و شدت 8.8 در افزونه Slider پلتفرم 10Web ابزار WordPress کشف شده است. این آسیب‌‌‌پذیری از نوع تزریق SQL مبتنی بر زمان و به دلیل نقص ورودی‌‌‌های کاربر و عدم آمادگی کوئری SQL کنونی می‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده دارای دسترسی در سطح مشارکت‌کننده و بالاتر می‌‌‌دهد تا به کوئری‌‌‌های موجود، کوئری‌‌‌های  SQL اضافه کنند و بدین وسیله اطلاعات حساس پایگاه داده را استخراج کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌پذیری تمامی نسخه‌ها تا نسخه 1.2.57 را تحت‌تأثیر قرار می‌‌‌دهد.

توصیه‌های امنیتی
این آسیب‌‌‌پذیری با ارتقای افزونه به نسخه 1.2.58 و بالاتر رفع می‌‌‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-7150

چندین آسیب‌پذیری در مرورگر گوگل کروم شناسایی شده است که ممکن است به اجرای کد دلخواه منجر گردد. مهاجمان در صورت بهره‌برداری از این آسیب‌پذیری‌ها می‌توانند کد دلخواه خود را در سمت کاربر اجرا نموده و به داده‌ها دسترسی پیدا کند و یا تغییراتی غیرمجاز ایجاد نمایند. میزان آسیب، به سطح دسترسی‌های کاربر بستگی دارد و کاربر با سطح مدیریتی بالاتر، در معرض خطر بیشتری خواهد بود. اهم این آسیب‌‌پذیری‌های گزارش شده به صورت زیر است:
CVE-2024-7532: دسترسی به حافظه خارج از محدوده
CVE-2024-7533: استفاده پس از آزادسازی حافظه
CVE-2024-7550: سردرگمی نوع داده‌ها
CVE-2024-7534: بافر سرریز در حافظه

محصولات تحت تأثیر

• نسخه‌های گوگل کروم قبل از 127.0.6533.99 در سیستم عامل‌های ویندوز، لینوکس و مک
   

توصیه‌های امنیتی

• اعمال بروزرسانی به نسخه 127.0.6533.99 و بالاتر
• مدیریت حساب‌های پیش‌فرض و محدود کردن حساب‌های مدیر
• محدود کردن اجرای کد در یک محیط مجازی sandbox
• محدود کردن استفاده از وب‌سایت‌های خاص و استفاده از خدمات فیلترینگ DNS filtering services و  مسدود کردن انواع فایل‌های غیرضروری
• آموزش کارکنان در رابطه با خطرات لینک‌های مشکوک در ایمیل‌ها و شناسایی حملات مهندسی اجتماعی

منبع خبر:

 https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…

پژوهشگران امنیتی در نرم‌افزار مدیریت ایمیل Roundcube آسیب‌پذیری XSS کشف را نموده¬اند که به مهاجمان این امکان را می‌دهد تا با اجرای کدهای مخرب جاوا اسکریپت در مرورگر کاربران، اطلاعات حساسی از جمله ایمیل‌ها، لیست مخاطبین و گذرواژه‌ها را سرقت کنند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد بدون نیاز به احراز هویت، ایمیل‌ها و لیست مخاطبین قربانی را به سرقت برده و حتی از حساب آن¬ها برای ارسال ایمیل استفاده کنند. مهاجمان می‌توانند حتی پس از راه‌اندازی مجدد سیستم هم، به طور مداوم به مرورگر قربانی دسترسی پیدا کنند. سه آسیب‌پذیری امنیتی در Roundcube عبارتند از:

• CVE-2024-42008: آسیب‌پذیری XSS که از طریق یک پیوست ایمیل مخرب که دارای یک هدر Content-Type خطرناک است به وجود می‌آید و فقط یک کلیک توسط قربانی برای اجرای این آسیب‌پذیری لازم است.
• CVE-2024-42009: آسیب‌پذیری XSS که ناشی از پردازش پس از پاکسازی محتوای HTML می‌باشد و فقط مشاهده ایمیل توسط قربانی برای بهره‌برداری از این آسیب‌پذیری کافی است.
• CVE-2024-42010: افشای اطلاعات که به دلیل فیلتر کردن ناکافی CSS به وجود می¬آید و برای بهره‌برداری از آن فقط مشاهده ایمیل کافی است.
   

محصولات تحت تأثیر
 نسخه‌های قبل از  1.6.8 و 1.5.8 نرم‌افزار  Roundcube Webmail آسیب‌پذیر هستند.

توصیه‌های امنیتی
 اعمال بروزرسانی نرم‌افزار Roundcube Webmail به نسخه‌های  1.6.8 و 1.5.8 توصیه می‌شود.
 

منبع خبر:

 https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html

"Monitoring Hosts" بخشی از سیستم‌ نظارتی و مدیریت شبکه zabbix است که مسئولیت نظارت بر وضعیت سرورها، دستگاه‌ها، و سایر اجزای شبکه را برعهده دارد. این بخش معمولاً شامل مجموعه‌ای از ابزارها و قابلیت‌ها است که به مدیران شبکه امکان می‌دهد وضعیت سلامت، دسترس‌پذیری، تحلیل پارامترهای عملکردی دستگاه‌های مختلف در شبکه را به صورت  مداوم بررسی کنند در این راستا امکان اجرای اسکریپت‌ها و دستورات خاص برای انجام وظایف مدیریت و نگهداری مانند Ping کردن یک سرور برای بررسی وضعیت دسترسی فراهم شده است.
آسیب‌پذیری  CVE-2024-22116 با شدت 9.9  به بخش اجرای عملیات خودکار (Automated Actions) و مانیتورینگ دسترس‌پذیری و عملکرد (Remote Commands) در Zabbix  به ویژه در سناریوهایی که از اجرای اسکریپت‌ها برای انجام عملیات نظارتی و مدیریتی استفاده می‌شود مرتبط است و در صورتی که توسط یک مدیر با دسترسی محدود به صورت نادرست مورد استفاده قرار گیرد به مهاجم اجازه میدهد تا کدهای دلخواه خود را در زیرساخت‌های شبکه اجرا کند و کنترل کامل سیستم‌ها را بدست آورد یا اطلاعات حساس را سرقت کند. چگونگی وقوع آسیب‌پذیری به صورت زیر است:
1. ورود پارامترهای ناامن:  اگر در اجرای اسکریپت‌ها یا دستورات خودکار، پارامترها به درستی بررسی و تصحیح نشوند، کاربر مدیر با دسترسی محدود می‌تواند از این نقاط ضعف استفاده کرده و حین اجرای ping دستورات مخرب خود را وارد کند.
2. اجرا در سطح دسترسی بالا:  هر گاه دستور ping  در نسخه آسیب‌پذیر با سطح دسترسی مدیر محدود اجرا شود، مهاجم می‌تواند از این آسیب‌پذیری برای دسترسی به بخش‌های حساس سیستم، تغییر تنظیمات مهم و اجرای کدهای دلخواه خود در زیرساخت‌های شبکه استفاده کند.
3. نبود مکانیزم‌های امنیتی:  اگر Zabbix به درستی پیکربندی نشده باشد و مکانیزم‌های امنیتی مانند محدودیت‌های دسترسی، بررسی ورودی‌ها، و محدود کردن دسترسی به اجرای دستورات خاص وجود نداشته باشد، این آسیب‌پذیری می‌تواند توسط مهاجمان بهره‌برداری شود.

محصولات تحت تاثیر
تمامی نسخه‌های نرم‌افزار بین نسخه 6.4.0 تا 6.4.15 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند.
تمامی نسخه‌های نرم‌افزار بین alpha1  7.0.0 تا  rc2 7.0.0 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند. این نسخه‌ها شامل نسخه‌های آزمایشی اولیه (alpha) و نسخه‌های کاندیدای انتشار (rc) می‌شوند.
بسیاری از ابزارهای مانیتورینگ که قابلیت‌های "Monitoring Hosts" و اجرای اسکریپت‌های خودکار را دارند در صورت نبود مکانیزم‌های امنیتی مناسب ممکن است در معرض آسیب‌پذیری‌های مشابه CVE-2024-22116 قرار گیرند.

توصیه‌های امنیتی
ایمن‌سازی ورودی‌ها:  ورودی‌های کاربران در هر قسمتی که کاربران دستوراتی را اجرا می کنند بررسی و فیلتر گردند تا از ورود دستورات مخرب توسط مهاجم جلوگیری شود.
محدود کردن دسترسی: دسترسی به قابلیت اجرای عملیات خودکار و کدها به کاربرانی با دسترسی‌های محدود داده شود.
به‌روز رسانی امنیتی: نرم‌افزار به نسخه‌های ایمن بروزرسانی گردد. نسخه rc1  6.4.16 و تمامی نسخه‌های بعد از آن در شاخه 6.4 ، همچنین نسخه rc3 7.0.0 و تمام نسخه‌های بعد از آن تحت تأثیر این آسیب‌پذیری قرار ندارند.
 

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2024-22116
[2] https://support.zabbix.com/browse/ZBX-25003

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-42393 و شدت 9.8 در سرویس Soft AP Daemon  کشف شده است. این آسیب‌پذیری بدین صورت است که اجازه می‌دهد تا یک حمله اجرای کد از راه دور (RCE) احراز هویت نشده انجام گیرد. این آسیب‌پذیری می‌تواند توسط مهاجم به منظور اجرای دستورات دلخواه بر روی سیستم‌عامل زیربنایی مورد بهره‌برداری قرار گیرد، که به طور بالقوه منجر به خطر افتادن کامل سیستم می‌شود.

محصولات تحت‌تأثیر
آسیب‌پذیری مذکور تمامی محصولاتی که از سرویس Soft AP Daemon استفاده می‌کنند را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
هنوز راه‌حلی برای این آسیب‌پذیری ارائه نشده است اما می‌توان جهت جلوگیری از بهره‌برداری توسط مهاجمان، اقدامات زیر را انجام داد:
1. اعمال به‌روزرسانی‌های امنیتی منتشر شده توسط Soft AP Daemon.
2. در صورت امکان، محدود و یا غیرفعال کردن دسترسی به سرویس Soft AP Daemon Service تا زمانی که یک وصله امنیتی در دسترس نباشد.
3. افزایش نظارت بر هرگونه فعالیت مشکوک مربوط به سرویس Soft AP Daemon.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-42393

افزونه LearnPress یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد و مدیریت دوره‌های آموزشی آنلای ، آزمون‌ها و گواهینامه‌ها  استفاده می‌شود. نسخه‌ی 4.2.6.9.3 این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم پاکسازی کافی پارامتر order، تحت تاثیر آسیب‌پذیری تزریق SQL مبتنی بر زمان با شناسه CVE-2024-7548 و شدت 8.8 قرار دارند.
پارامتر order جهت مرتب‌سازی پست‌ها بر اساس تاریخ و عنوان یا نمایش نتایج فیلترهای جستجو به صورت صعودی یا نزولی توسط کاربر وارد می‌شود. این آسیب‌پذیری تنها برای کاربران احراز هویت‌شده‌ای که حداقل دسترسی سطح Contributor (مشارکت‌کننده) یا بالاتر دارند، قابل بهره‌برداری است. در وردپرس کاربران با سطح دسترسی مشارکت کننده امکان انتشار پست و دسترسی به تنظیمات سایت را ندارند اما مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند از طریق دستکاری پارامتر order کوئری‌های مخرب SQL را به پایگاه داده ارسال کند و اطلاعات حساس را استخراج نموده یا دستورات مخرب را اجرا کند.

?orderby=date&order=asc
?orderby=title&order=desc

یک آسیب‌پذیری بحرانی دیگر با شناسه CVE-2024-7350 و شدت 9.8 در افزونه BookingPress وردپرس کشف شده است. این آسیب‌پذیری از نوع دور زدن احراز هویت و به دلیل احراز هویت نادرست این افزونه هنگام تکمیل فرایند رزرو می‌باشد و این امکان را به مهاجمان احراز هویت نشده می‌دهد تا به عنوان کاربران احراز هویت‌شده (از جمله ادمین) در صورتی که به ایمیل ایشان دسترسی داشته باشند وارد سیستم شوند. این بهره‌برداری تنها در صورتی ممکن است که گزینه "Auto login user after successful booking" فعال باشد.

آسیب‌پذیری بحرانی دیگری با شناسه CVE-2024-7492 و شدت 8.8 در افزونه MainWP Child Reports وردپرس کشف شده است. این آسیب‌پذیری از نوع جعل درخواست میان سایتی و به دلیل عدم اعتبارسنجی یا اعتبارسنجی نادرست عدد یک‌بارمصرف (nonce) در تابع network_options_action() می‌باشد و امکان به‌روزرسانی تنظیمات دلخواه را به مهاجمان احراز هویت نشده می‌دهد. این امر می‌‌تواند منجر به ارتقاء سطح دسترسی مهاجم از طریق درخواست جعلی ارسال‌شده برای یکی از ادمین‌های سایت شود.

محصولات تحت تاثیر
در شناسه CVE-2024-7548: نسخه‌ی 4.2.6.9.3 و تمام نسخه های قبل از آن

در شناسه CVE-2024-7350: نسخه‌های 1.1.6 تا 1.1.7

در شناسه CVE-2024-7492: این آسیب‌‌پذیری تمامی نسخه‌ها تا نسخه 2.2 را تحت‌تأثیر قرار می‌دهد و تنها در نمونه‌‌های چندسایتی (multisite) قابل بهره‌‌برداری است.

توصیه‌های امنیتی
در شناسه CVE-2024-7548:  به کاربران توصیه می‌شود افزونه را به نسخه 4.2.6.9.4  به‌روزرسانی کنند.

در شناسه CVE-2024-7350: آسیب‌پذیری ذکر شده با ارتقاء افزونه به نسخه 1.1.8 و بالاتر رفع می‌شود.

در شناسه CVE-2024-7492: این آسیب‌پذیری با ارتقاء افزونه به نسخه 2.2.1 و بالاتر رفع می‌شود.
 

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2024-7548

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7350

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-7492

Kibana نرم‌افزاری پرکاربرد و متن‌باز برای بصری‌سازی (Visualization)، ساخت داشبورد مدیریتی و تجزیه و تحلیل داده‌ها می‌باشد. اخیرا یک آسیب‌پذیری بحرانی با شناسه CVE-2024-37287 و شدت 9.9  در این نرم‌افزار شناسایی شده است که می‌تواند به مهاجمان اجازه دهد تا کدهای دلخواه خود را اجرا کنند.
مهاجمان با دسترسی به ویژگی‌های رابط یادگیری ماشین (ML) و Alerting و همچنین دسترسی نوشتن به ویژگی‌های داخلی ML  می‌توانند پس از دسترسی اولیه، کد دلخواه را اجرا نمایند. این مشکل در هنگام نصب Kibana به صورت خود مدیریتی (Self-Managed) در سیستم‌عامل میزبان بروز می‌کند.

محصولات تحت تأثیر

• نسخه‌های Kibana   ‌که به صورت مستقل روی سیستم‌عامل‌های میزبان نصب و اجرا می‌شوند.
• نسخه‌های Kibana که به صورت خودمدیریتی و از طریق Docker  اجرا می‌شوند.
• نسخه‌های  8.x از Kibana که قبل از نسخه 8.14.2 منتشر شده‌اند و نسخه‌های .x7 از Kibana که قبل از نسخه 7.17.23 منتشر شده‌اند، تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• لازم است فورا Kibana به نسخه‌های جدید  8.14.2 یا 7.17.23 بروزرسانی گردد.

منبع خبر:

https://cybersecuritynews.com/critical-kibana-vulnerability/

آسیب‌پذیری روز صفر با شناسه  CVE-2024-36971 در هسته (Kernel) سیستم‌عامل لینوکس یک نقص امنیتی استفاده پس از آزادسازی Use-After-Free  یا UAF در مدیریت مسیرهای شبکه هسته لینوکس است. مهاجمان با استفاده از این نقص می‌توانند رفتار شبکه را به گونه‌ای تغییر دهند که به نفع خودشان باشد اما برای بهره‌برداری از این آسیب‌پذیری باید سطح دسترسی بالایی داشته باشند.
گوگل اعلام کرده است نشانه‌هایی وجود دارد که آسیب‌پذیری با تحت تاثیر قراردادن هسته سیستم‌عامل اندروید، ممکن است به مهاجمان امکان اجرای کد دلخواه و راه دور (RCE) بدون نیاز به تعامل کاربر در دستگاه‌هایی که آخرین بروزرسانی‌های امنیتی را دریافت نکرده‌اند، بدهد.

محصولات تحت تأثیر

• دستگاه‌های‌ ‌Google Pixel و دستگاه‌های دیگر اندروید تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• اعمال بروزرسانی: اطمینان حاصل شود که دستگاه اندروید به آخرین وصله‌های امنیتی بروزرسانی شده باشد. گوگل دو مجموعه وصله 2024-08-01 و 2024-08-05 را منتشر کرده است.
   

منبع خبر:

https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-ta…

گروه باج‌افزاری Hunters International، با استفاده از بدافزار جدیدی به نام SharpRhino، که یک تروجان دسترسی از راه دور(RAT) نوشته‌شده به زبان C# است، متخصصان فناوری اطلاعات را هدف قرار داده تا به شبکه‌های سازمانی نفوذ کند. این بدافزار به گروه مهاجم کمک می‌کند تا ابتدا وارد سیستم‌های هدف شده، سپس با افزایش دسترسی خود، فرمان‌های PowerShell را اجرا کرده و در نهایت payload باج‌افزار را پیاده‌سازی کند.
محققان گزارش داده‌اند که SharpRhino از طریق یک سایت فیشینگ که یک نمونه‌ی جعلی از وب‌سایت ابزار معتبر اسکن IP به نام Angry IP Scanner است، توزیع می‌شود. این سایت جعلی با استفاده از روش Typosquatting ساخته شده است. Typosquatting به معنی استفاده از نام دامنه‌های جعلی است که با یک خطای تایپی کوچک مشابه دامنه‌های معتبر به نظر می‌رسند. این گروه، در مدت زمان کوتاهی از زمان راه‌اندازی خود، موفق به اجرای چندین حمله‌ی سایبری به تعداد قابل‌توجهی از شرکت‌های مطرح و مهم شده ‌است.
فرآیند انتشار و عملکرد SharpRhino بدین صورت است که بدافزار به ‌عنوان یک نصب‌کننده ۳۲ بیتی با امضای دیجیتال “ipscan-3.9.1-setup.exe” توزیع می‌شود که حاوی یک آرشیو 7z رمزگذاری‌شده است. آرشیو 7z یک فرمت فایل فشرده است. وقتی یک آرشیو 7z رمزگذاری می‌شود، محتوای فایل‌های درون آن با استفاده از یک الگوریتم رمزنگاری (معمولاً AES-256) محافظت می‌شود و بدون داشتن رمز عبور صحیح، دسترسی به محتوای فایل‌ها غیرممکن خواهد بود. مهاجمان از آرشیوهای 7z رمزگذاری‌ شده به عنوان یک روش برای پنهان‌سازی فایل‌های مخرب استفاده می‌کنند. با قراردادن آرشیو در یک نصب‌کننده یا ابزار جعلی، وقتی کاربر فایل نصب را اجرا می‌کند، فایل‌های مخرب  به‌طور مخفیانه و خودکار روی سیستم قربانی اجرا می‌شود و همین ‌مسئله کار را برای نرم‌افزارهای امنیتی و شناسایی تهدید دشوار می‌سازد.
نصب‌کننده “ipscan-3.9.1-setup.exe” برای حفظ دسترسی دائمی، رجیستری ویندوز را تغییر می‌دهد و یک میانبر برای فایل Microsoft.AnyKey.exe ایجاد می‌کند. این فایل که در حالت عادی متعلق به Microsoft Visual Studio است، در این حمله برای اهداف مخرب مورد استفاده قرار می‌گیرد.
علاوه بر این، “ipscan-3.9.1-setup.exe” از فایل‌های دیگری از جمله “LogUpdate.bat” برای اجرای کدهای مخرب به ‌صورت مخفیانه استفاده کرده و از طریق دو دایرکتوری “C:\ProgramData\Microsoft:WindowsUpdater24” و  “C:\ProgramData\Microsoft:LogUpdateWindows” و دو دستور سخت‌کد شده‌ی delay و exit برای ارتباط با سرور عملیات و فرمان (C2) و تنظیم زمان‌بندی درخواست‌های POST بعدی و خاتمه دادن به ارتباط با سرور C2 استفاده می‌کند.
گروهی که بدافزار را کشف کردند، برای امتحان، با استفاده از SharpRhino و اجرای دستورات PowerShell به راحتی توانستند ماشین حساب ویندوز را اجرا و از آن استفاده کنند که نشان‌دهنده‌ی این است که مهاجمان با نصب موفقیت‌آمیز این تروجان، خواهند توانست بسته به سطح دسترسی بدست آمده، کنترل کامل سیستم هدف را بدست بگیرند.

محصولات تحت تاثیر
این بدافزار به‌طور عمده بر روی کارمندان بخش فناوری اطلاعات (IT) متمرکز است، زیرا این افراد دسترسی‌های بالایی به شبکه‌های سازمانی و اطلاعات حساس دارند. بنابراین SharpRhino تهدیدی جدی برای سازمان‌هایی است که در آن‌ها دستیابی به اطلاعات حساس و سطح بالایی از نفوذ به شبکه‌ها می‌تواند تأثیرات گسترده و مخرب داشته باشد.

توصیه‌های امنیتی
با توجه به حملات پیچیده و استفاده از تکنیک‌های جدید، توصیه می‌شود که کاربران و سازمان‌ها دقت بیشتری در دانلود نرم‌افزارها از منابع غیررسمی داشته باشند. همچنین باید اقدامات امنیتی مانند تقسیم‌بندی شبکه، بروزرسانی نرم‌افزارها و ایجاد برنامه‌های پشتیبان‌گیری را به‌منظور کاهش احتمال دسترسی و حرکت جانبی مهاجمان، در نظر بگیرند.
فعال‌سازی مسدودکننده‌های تبلیغات و برخورد محتاطانه دربرابر تبلیغات مخرب (Malvertising) و اجتناب از کلیک روی نتایج جستجوی تبلیغاتی نیز از اهمیت بالایی برخوردار است.
 

منبع خبر:

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-wor…

سرویس TryCloudflare یک ابزار رایگان محصول شرکت Cloudflare است که به کاربران اجازه می‌دهد تا به‌صورت سریع و آسان یک تونل امن (Secure Tunnel) از دستگاه یا سرور خود به اینترنت ایجاد کنند. این تونل به کاربران امکان می‌دهد تا بدون نیاز به پیکربندی پیچیده یا تغییر تنظیمات شبکه، دسترسی راه دور به برنامه‌ها، سرورها و دیگر منابعی که در شبکه محلی قرار دارند را بدست آورند.
اخیرا، شرکت‌های امنیت سایبری از افزایش بهره‌برداری از سرویس رایگان TryCloudflare برای انتقال و تحویل بدافزار خبر داده‌اند. طبق گزارش‌های منتشرشده، مهاجمان با استفاده از این سرویس توانسته‌اند ترافیک خود را از سرورهای تحت کنترل خود به دستگاه‌های قربانی منتقل کرده و از زیرساخت‌های Cloudflare برای مخفی کردن فعالیت‌های مخرب استفاده کنند.
حملات سایبری که با استفاده از این روش انجام شده‌اند، تاکنون منجر به انتقال بدافزارهای متعددی از جمله AsyncRAT، GuLoader، PureLogs Stealer، Remcos RAT، Venom RAT و XWorm شده‌اند. این حملات معمولاً با ارسال ایمیل‌های فیشینگ با طیف گسترده‌ای از موضوعات مانند فاکتورها، درخواست‌های اسناد، تحویل بسته‌ها و مالیات آغاز می‌شوند. این ایمیل‌ها حاوی فایل‌های ZIP هستند که یک فایل URL Shortcut در آن‌ها قرار داده شده ‌است. پس از کلیک کاربر روی این فایل، او به یک فایل میانبر ویندوز (LNK) هدایت می‌شود که بر روی یک سرور WebDAV مستقر است که از طریق TryCloudflare محافظت می‌شود.
فایل‌های LNK یا "Windows Shortcut" فایل‌هایی هستند که توسط ویندوز برای اشاره به فایل‌های اجرایی استفاده می‌شوند. مهاجمان از این فایل‌ها برای اجرای کدهای مخرب استفاده می‌کنند، به‌ این نحو ‌که با کلیک بر روی فایل LNK، کدهای دیگری مانند اسکریپت‌های دسته‌ای (Batch Scripts) اجرا می‌شوند.
 اسکریپت‌ها مسئولیت دریافت و اجرای payloadهای بدافزار را دارند که به زبان پایتون نوشته شده‌اند. در این میان، به منظور فریب کاربر، یک فایل PDF جعلی را نیز نمایش می‌دهند. بسته‌ی پایتون و اسکریپت‌های مرتبط، پس از دانلود بر روی سیستم قربانی اجرا شده و بدافزارهایی مانند AsyncRAT و XWorm را نصب می‌کنند. سپس بدافزار اقدام به جمع‌آوری اطلاعات حساس از شبکه داخلی شرکت کرده و این اطلاعات را از طریق تونل Cloudflare به سرورهای مهاجمان در خارج از شبکه ارسال می‌کند.
محققان اشاره می‌کنند که مهاجمان برای جلوگیری از شناسایی شدن، تکنیک‌های پیچیده‌ای مانند استفاده از syscallهای مستقیم برای دور زدن ابزارهای نظارتی و تزریق کد به روش "Early Bird APC queue injection" و اجرای مخفیانه‌ی بدافزارهای مختلف با کمک لایه‌های کد رمزنگاری‌شده را به کار می‌برند.
تزریق کد به روش "Early Bird APC queue injection"  یک تکنیک است که به مهاجم اجازه می‌دهد تا کد مخرب خود را در مراحل اولیهی اجرای یک برنامه به درون حافظه تزریق کند. به این ترتیب از شناسایی شدن توسط ابزارهای امنیتی جلوگیری می‌شود.
استفاده از تونل‌های موقت Cloudflare به جهت این که شرایطی فراهم می‌کند تا مهاجمان زیرساخت‌های خود را به سرعت ایجاد کرده و از بین ببرند، شناسایی و مسدودسازی حمله‌ را برای مدافعان امنیتی دشوارتر می‌سازد.
همچنین میزبانی فایل‌های مخرب بر روی سرویس Cloudflare به این دلیل که این سرویس شناخته‌شده و معتبر است، باعث می‌شود که ترافیک مرتبط با این فایل‌ها به نظر قانونی و معتبر بیافتد و کمتر مشکوک به نظر برسد.

توصیه‌های امنیتی
با توجه به پیچیدگی و تنوع تکنیک‌های استفاده‌شده در این حملات، توصیه می‌شود که سازمان‌ها دسترسی به سرویس‌های به اشتراک‌گذاری فایل‌های خارجی را به سرورهای مشخص و مجاز محدود کنند. همچنین، لازم است تدابیر امنیتی همچون نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه، محدودسازی دسترسی به فایل‌ها و مسیرهای حساس و استفاده از محیط‌های ایزوله‌شده مانند Docker برای اجرای بسته‌های نرم‌افزاری، به منظور جلوگیری از نفوذ بدافزارها و کاهش آسیب‌های احتمالی اتخاذ گردند.
 

منابع خبر:

[1] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[2] https://www.bleepingcomputer.com/news/security/hackers-abuse-free-trycloudflare-to-deliver-remote-a…