استفاده از نقص موجود در سرورهای وصله‌نشده‌ی Pulse Secure VPN برای انتشار باج‌افزار REvil

محققان امنیتی هشدار داده‌اند كه يك #‫آسيب‌پذيری شناخته‌شده که بر محصول #VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسه‌ی " CVE-2019-11510" ردیابی می‌شود، یک حفره‌ی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ی شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
باج‌افزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائه‌دهنده‌ی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.
مهاجمان به‌راحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آن‌ها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec"، به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باج‌افزار، توانایی انجام آن را دارد.
طبق تحقیقات انجام‌شده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از 1300 مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.

منابع:

https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-serve…