در اواخر ماه فوریه سال 2020 میلادی، اخباری مبنی بر فعالیت باجافزاری بهنام Nefilim درفضای سایبری منتشر شد. طبق شواهد موجود، کد این باجافزار با باجافزار Nemty شباهت بسیار زیادی دارد. این باجافزار پس از اتمام فرآیند رمزگذاری، در صورت نپرداختن مبلغ باج، قربانی را تهدید به انتشار فایلهای رمزگذاری شده میکند. باجافزار Nefilim از الگوریتم رمزنگاری AES-128 برای رمزگذاری فایلها استفاده کرده است.
در طی مسابقات Pwn2Own توکیو در پاییز گذشته، اشخاصی به نام Pedro Ribeiro و Radek Domanski از آسیبپذیری تزریق فرمان به عنوان بخشی از زنجیره بهرهبرداری برای اجرای کد بر روی روتر بی سیم TP-Link Archer A7 استفاده کردند که 5000 دلار برای آنها درآمد داشت. باگ به کار رفته در این بهرهبرداری اخیراً وصله شده است. در این گزارش به بررسی آسیبپذیری تزریق فرمان که در نوامبر 2019 منتشر شد میپردازیم.
این آسیبپذیری در سرور tdp daemon (/usr/bin/tdpServer) در روتر TP- Link Archer A7 (AC1750) با نسخه سختافزار 5، معماری MIPS و سیستمعامل نسخه 190726 وجود دارد که توسط مهاجمی در سمت LAN روتر قابل بهرهبرداری است و نیاز به احراز هویت ندارد.
پس از بهرهبرداری مهاجم قادر است هر دستوری شامل بارگیری و اجرای یک دودویی از یک میزبان دیگر را با دسترسی root اجرا کند. این آسیب پذیری با نام CVE-2020-10882 شناخته میشود و توسط TP-Link با نسخه سیستمعامل A7 (US) _V5_200220 رفع شده است. در کلیه قطعه کدها و توابع در این گزارش از /usr / bin / tdpServer، نسخه سیستم عامل 190726 استفاده شده است.
امنیت تلفن همراه بهطور فزایندهای در مباحث موبایلی اهمیت پیدا کرده است. موبایلها در بیشتر کاربران در کسبوکار نه تنها بهعنوان ابزار ارتباطی، بلکه بهعنوان ابزاری برای برنامهریزی و مدیریت کارها استفاده میشوند. در شرکتها، این فناوری باعث تغییرات عمیق در سازمان سیستمهای اطلاعاتی شده و در نتیجه آنها را تبدیل به منبع خطرات جدیدی کرده است.
گوشیهای هوشمند کامپیوترهایی در مقیاس کوچکتر هستند. این دستگاه به حسابهای مالی متصل بوده و بهطور قطع در ضعیفترین سطح حفاظت قرار دارد؛ که متأسفانه مجرمان سایبری از این مسئله سوءاستفاده میکنند. هنگامی که قابلیت دستگاههای تلفن همراه و خدمات آن پیشرفت میکنند، مجرمان سایبری را نیز بهسوی پیشرفت بدافزارها سوق میدهند. از طرفی، پیشرفتهای هوشمصنوعی و یادگیریماشین طی چندسال اخیر، اگرچه موجب ارتقاء سطح امنیت سایبری خواهد شد اما در عینحال به مهاجمان نیز کمک خواهد کرد. برنامههای کاربردی موبایل به علت وجود آسیبپذیری، هدف هکرها هستند. هرگونه از این نواقض میتوانند عواقب بسیار مشکلزا و وسیعی را برای شرکتها و سازمانهای مربوطه داشته باشند.
بهرهبرداری موفق از نقصهای امنیتی OOB Write و سرریز ساختار هیپ ازراه دور، مهاجمین را قادر به بهرهبرداری از آیفون و آیپد کاربران که از نسخهی 6 و یا بالاتر iOS، از طریق برنامهی پیشفرض Mails کردهاست. با توجه به وصلهنشدن این آسیبپذیری و عدم ظهور علائم خاصی بهخصوص در iOS13، لازم است کاربران مذکور بهجای برنامهی Mails از برنامههایی مانند Outlook یا Gmail استفاده کنند. همچنین با توجه به بالارفتن تعداد بهرهبرداریهای پیداشده در iOS، قیمت اکسپلویتهای روزصفرم آن در Zerodium نیز کاهش یافتهاست.
برنامه ایمیل پیشفرض از پیش نصب شده بر روی میلیونها گوشی یا تبلت اپل نسبت به دو نقص بحرانی که مهاجمان حداقل از دو سال قبل برای جاسوسی قربانیان مشهور از آن استفاده میکنند، آسیبپذیر شده است.
این نقصها به مهاجمان از راه دور اجازه میدهند که تنها با فرستادن ایمیل به دستگاههای شخصی مورد نظر از طریق حساب ایمیل که در برنامه ایمیل آسیبپذیر وارد شده است، کنترل کاملی بر روی دستگاههای اپل به دست آورند.
طبق نظرات محققان در ZecOps آسیبپذیریهای مورد نظر، نقضهای اجرای کد از راه دور هستند که به دلایل باگ نوشتن خارج از محدوده و مسئله سرریز پشته، در کتابخانه MIME برنامه ایمیل اپل اتفاق میافتند. اگرچه هر دو نقص هنگام پردازش محتوای ایمیل ایجاد میشوند، اما نقص دوم خطرناکتر است؛ زیرا میتواند بدون کلیک مورد بهرهبرداری قرار گرفته و نیاز به تعامل با گیرندگان هدف ندارد.
1 جزئیات آسیبپذیری
نقصهای موجود در مدلهای مختلف گوشی و تبلتهای اپل به مدت حداقل 8 سال و از زمان انتشار iOS 6 وجود داشته و همچنین روی iOS 13.4.1 تأثیر گذاشتهاند. تاکنون هیچگونه وصله یا بهروزرسانی برای این آسیبپذیریها منتشر نشده است. چندین گروه از مهاجمان از حداقل دو سال پیش در حال سوءاستفاده از این نقصهای روز صفرم به منظور هدف گرفتن اشخاص در صنایع و سازمانهای مختلف، MSSPهای عربستان سعودی و اسرائیل و روزنامهنگاران در اروپا هستند. با وجود دادههای محدود، حداقل 6 سازمان تحت تأثیر این آسیبپذیری قرار گرفتند.
محققان امنیتی یک باتنت جدید به نام Dark Nexusرا کشف کردهاند که تجهیزات IoTرا هدف قرار میدهد و با استفاده از آنها حملات توزیع شده منع سرویس (DDoS) را انجام میدهد.
این باتنت به تجهیزاتی مانند روترها با برندهای Dasan Zhone, Dlinkو ASUSو دوربینهای مدار بسته و همچنین دوربینهای حرارتی حمله میکند و آنها را عضو باتنت میکند تا از آنها برای حملات DDoSاستفاده کند.
اخیرا شرکت #اینتل شش آسیب پذیری شدید در درایورهای گرافیکی خود که به مهاجمان اجازه میداد تا داده های حساس را به سرقت ببرند را وصله کرده است. درایور گرافیکی، نرم افزاری است که چگونگی عملکرد اجزای گرافیکی با دیگر قسمتهای کامپیوتر را کنترل میکند. برای مثال، شرکت اینتل درایورهای گرافیکی را برای سیستم عامل ویندوز توسعه می دهد تا کارهایی از قبیل ارتباط با دستگاه های گرافیکی خاص اینتل را انجام دهند. در ادامه به بررسی بیشتر آسیب پذیری های این درایورها خواهیم پرداخت.
بدافزارهای نوع (Fleeceware) که به اصطلاح آن ها را غارتافزار نامیدهایم ، برنامههای مخربی هستند که با دسترسی به اطلاعات پرداخت کاربران به دستبرد و غارت از انها میپردازد. اخیراً دانلود و نصب بیش از 5/3 میلیون از آنها در App Store توسط کاربران اپل نیز مشاهده شدهاست. این غارتافزارها که از فرصت آزمایشی اپل برای حضور در App Store سوءاستفاده میکنند، در صورت لغو نشدن آبونمان آنها مبالغ زیادی از حساب کاربران خود را بصورت دورهای برداشت میکنند.
عموماً پس از اتصال به یک شبکه خصوصی مجازی (VPN)، سیستمعامل کلیه اتصالات اینترنت موجود را قطع کرده و سپس آنها را از طریق تونل VPN مجدداً برقرار میكند.
اخیرا گروه #Proton کشف کرده است که در سیستمعامل iOS نسخه 13.3.1، کلیه اتصالات موجود قطع نمیشود (این آسیبپذیری در نسخه 13.4 نیز همچنان وجود دارد). بیشتر اتصالات کوتاهمدت بوده و مجدداً به تنهایی از طریق تونل VPN برقرار میشوند. با این حال بعضی از آنها بلندمدت بوده و میتوانند تا دقایق و یا ساعاتی خارج از تونل VPN باز بمانند.
نمونه بارز آن، سرویس ارسال اعلان در Apple است که حاوی اتصالات بلندمدت بین دستگاه و سرورهای اپل میباشد. اما این مشکل میتواند روی هر برنامه یا سرویسی مانند برنامههای پیامرسانی سریع یا beaconهای وب تاثیر بگذارد.
در صورت عدم رمزنگاری اتصالات آسیبدیده، آسیبپذیری دور زدن VPN سبب افشای دادههای کاربران خواهد شد. مشکل شایعتر نشت IP است. مهاجم میتواند آدرس IP کاربران و آدرس IP سرورهایی که به آن متصل میشوند را مشاهده کند. بهعلاوه، سروری که به آن متصل میشوید بجای آدرس IP VPN، آدرس واقعی شما را مشاهده میکند.
اوایل سال 2020 میلادی اخباری مبنی بر حمله بدافزاری با ویژگی Wiper# (پاک کننده) به تأسیسات نفت و انرژی کشور عربستان در فضای سایبری منتشر شد. براساس شواهد موجود و تحقیقات صورتگرفته توسط محققان امنیتی، بدافزار Dustman# که از آن به عنوان سلاحی برای جنگ سایبری یاد میشود، شباهت بسیار زیادی به بدافزار ZeroCleare دارد که اوایل سپتامبر 2019 میلادی مشاهده شد. این شباهتها شامل فایل اصلی ایجاد شده درون سیستم، الگوی رفتاری مشابه، Key License یکسان برای فایل اصلی و هدف سیاسی مشابه دو بدافزار میباشد. تحلیل پیش رو مربوط به نسخه منتشر شده بدافزار Dustman در تاریخ 29 دسامبر 2019 میلادی میباشد.