یک مهاجم درحال گسترش اکسپلویت جعلی اثبات نامفهوم (PoC) برای آسیبپذیری WinRAR است که اخیرا در GitHub رفع شده است.
این مهاجم، کاربران را با اکسپلویت جعلی WinRAR PoC، در GitHub فریب میدهد تا سیستم آنها را با بدافزار VenomRAT آلوده کند. این PoC جعلی، آسیبپذیری WinRAR را اکسپلویت نمیکند، بهنظر می-رسد مهاجم از یک RCE با جستجوی بالا در WinRAR، برای به خطر انداختن دیگران استفاده میکند.
جزئیات آسیبپذیری
PoC جعلی برای آسیبپذیری CVE-2023-40477 ایجاد شده است. یک آسیبپذیری اجرای کد که میتواند زمانی که فایلهای RAR ساخته شده در WinRAR قبل از 6.23 باز میشوند، فعال شود.
CVE-2023-40477 به یک آسیبپذیری اعتبار سنجی نامناسب، در ابزار WinRAR مربوط میشود که می-تواند برای دستیابی به اجرای کد از راه دور (RCE) در سیستمهای ویندوز اکسپلویت شود. این آسیبپذیری، ماه گذشته در نسخه WinRAR 6.23 همراه با آسیب¬پذیری دیگری با عنوان CVE-2023-38831 که اکسپلویت شده بود، ردیابی شد.
عامل مخرب شامل یک فایلREADME و یک ویدیوی Streamable بود که نحوه استفاده از PoC را نشان میداد. اسکریپت جعلی Python PoC در واقع اصلاح یک اکسپلویت در دسترس عموم برای یک آسیبپذیری دیگر است، CVE-2023-25157، یک آسیبپذیری بحرانی تزریق SQLاست که GeoServer را تحت تاثیر قرار میدهد.
این عامل مخرب هنگامی که اجرا میشود، به جای اجرای اکسپلویت، یک اسکریپت دستهای ایجاد می¬کند که یک اسکریپت کدگذاری شده PowerShell را دانلود کرده و روی host اجرا می¬کند.
این اسکریپت، بدافزارVenomRAT را دانلود میکند و یک کار برنامهریزی شده برای اجرای آن ایجاد میکند. مهاجم ممکن است در آینده از توجه بیشتر جامعه امنیتی به آسیبپذیریهای جدید، برای انتشارسایر PoC های گمراه کننده برای آسیبپذیریهای مختلف استفاده کند.
PoC های جعلی درGitHub یک حمله کاملا مستند است که در آن، عوامل تهدید سایر مجرمان و محققان امنیتی را هدف قرار میدهد.
منابع خبر:
[1] https://thehackernews.com/2023/09/beware-fake-exploit-for-winrar.html
[2] https://www.bleepingcomputer.com/news/security/fake-winrar-proof-of-concept-exploit-drops-venomrat-…
- 125