محققان امنیتی هشدار دادهاند كه يك #آسيبپذيری شناختهشده که بر محصول #VPN از شرکت Pulse Secure تأثیر میگذارد، توسط مجرمان سایبری برای ارایهی يك قطعه باجافزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسهی " CVE-2019-11510" ردیابی میشود، یک حفرهی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه میدهد تا از راه دور به شبکهی شرکتها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاههها و گذرواژههای ذخیرهشده در متن ازجمله گذرواژههای حساب کاربری Active Directory را مشاهده کنند.
باجافزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائهدهندهی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باجافزار را بهعنوان یکی از باجافزارهای خطرناک طبقهبندی کردهاند؛ چراکه قادر به ایجاد ویرانیهای شدید در سیستم میزبان است. بهگفتهی آنان، مهاجمان دائماً از این باجافزار برای رمزگذاری سیستمهای تجاری بسیار حساس استفاده و مبلغ هنگفتی را بهعنوان باج درخواست میكنند. در ابتدا، این باج افزار از آسیبپذیری Oracle WebLogic در برابر سیستمهای آلوده استفاده میکرد، اما اینبار هکرها بهدنبال غیرفعال کردن سیستمهای ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصلهنشده هستند.
مهاجمان بهراحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیبپذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باجافزار استفاده میکنند. آنها متعاقباً کنترل دامنه را بهدست گرفته و از نرمافزار دسترسی از راه دور برای حرکت در سیستم استفاده میکنند. در این مرحله، باجافزار REvil میتواند ابزارهای امنیتی را غیرفعال کند و از طریق پیامهای فرمان "PsExec"، به تمام سیستمها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باجافزار، توانایی انجام آن را دارد.
طبق تحقیقات انجامشده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی بهروز نشدهاند. از این تعداد، بیش از 1300 مورد، سرورهای آسیبپذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse بهطور مؤثری از وصلهی صادرشده در ماه آوریل سال گذشته استفاده کردهاند، اما برخی از سازمانها هنوز این وصلهها را اعمال نکردهاند. این سازمانها، آسیبپذیرترین سیستمها در برابر حملهی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستمهای خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحهی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.
منابع:
https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-serve…
- 19