محققین Alien Labs گزارشهایی مبنی بر سوءاستفادهی فعال از #آسیبپذیری CVE-2019-0604 در Microsoft SharePoint دریافت کردهاند.
آسیبپذیری CVE-2019-0604 یک نقص اجرای کد راهدور است که در نتیجهی شکست SharePoint در بررسی نشانگذاری منبع بستهی برنامهی کاربردی ایجاد میشود. یک مهاجم میتواند از این نقص از طریق آپلود بستهی برنامه کاربردی Sharepoint ساختگی خاص به نسخههای متأثر این نرمافزار، سوءاستفاده کند. سوءاستفادهی موفق از این آسیبپذیری به مهاجم اجازه میدهد کد دلخواه را در متن حساب کاربری برنامهی کاربردی SharePoint و کارگزار SharePoint اجرا کند.
محققین آزمایشگاهAT&T Alien از تلاشهایی برای سوءاستفاده علیه سازمانهایی در سعودی و کانادا خبر دادهاند.
Markus Wulftange که این آسیبپذیری را کشف کرده است، کد سوءاستفادهی نمایشی آسیبپذیری CVE-2019-0604 را در ماه مارس سال 2019 منتشر ساخت. مدتی بعد، در اواخر ماه آوریل، حملات آغاز شدند. مرکز امنیت سایبری کانادا در ماه مارس هشداری ارسال کرد، سپس مقاماتی از مرکز امنیت سایبری ملی سعودی (NCSC)، دومین هشدار امنیتی را در هفتهی پایانی ماه می ارسال کردند.
گزارش مرکز امنیت سایبری سعودی نشان میدهد که عاملان تهدید ابتدا سازمانهای درون سلطنت را هدف قرار دادهاند. گزارش قبلی مرکز امنیت سایبری کانادا، بهکارگیری مشابهی از پوستهی وب کوچک Chiny Chooper برای بهدست آوردن پایگاه اولیه شناسایی کرده است. آزمایشگاه AT&T Alien بدافزار مشابهی را شناسایی کرده است که احتمالاً مشابه نسخهی قبلی بدافزار مرحله دومی بهکارگرفتهشده در سوءاستفادههای از سعودی است.
این نمونه بدافزار توسط یک هدف در چین به اشتراک گذاشته شده است. این بدافزار دستورات رمزگذاریشده با AES را در http://$SERVER/Temporary_Listen_Addresses/SMSSERVICE دریافت میکند و دارای قابلیت اجرای دستورات و دانلود و آپلود فایلها هستند.
به گفتهی کارشناسان، یک کاربر در توییتر گزارش داد که منبع حملات، آدرس IP 194.36.189[.]177 است که قبلاً مرتبط با گروه جرایم سایبری FIN7 بوده است. به گفتهی کارشناسان، عاملهای تهدید مختلفی در تلاش برای سوءاستفاده از آسیبپذیری CVE-2019-0604 هستند.
خبر خوب برای کاربران مایکروسافت این است که این غول تکنولوژی قبلاً در بهروزرسانی ماه فوریهی سال 2019 خود، یک وصله برای آسیبپذیری CVE-2019-0604 منتشر ساخته است.
کارشناسان آزمایشگاه AT&T Alien قوانین Yara را بهمنظور شناسایی کد سوءاستفادهی استفادهشده توسط مهاجمان را در https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/ منتشر ساختهاند.
با توجه به حملات فعال در حال انجام، به شرکتهایی که کارگزارهای SharePonit را اجرا میکنند توصیه میشود جهت مقابله با این تهدیدات، سیستمهای خود را بهروزرسانی کنند.
آسیبپذیری CVE-2019-0604 تعداد زیادی از نسخههای اخیر SharePoint را تحتتأثیر قرار میدهد، مانند:
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2013 SP1
Microsoft SharePoint Server 2010 SP2
Microsoft SharePoint Server 2019
اگر وصلهها نمیتوانند اعمال شوند، به سازمانها توصیه میشود کارگزارهای SharePoint آسیبپذیر را در یک دیوارهی آتش که تنها در شبکههای داخلی قابل دسترسی است، قرار دهند. اگرچه ممکن است سیستمها همچنان آسیبپذیر باقی بمانند؛ اما حداقل دروازهای برای هکرها به سمت شبکههای سازمانها نخواهند بود.
- 21