BYOB یک ابزار تحقیقاتی و آموزشی متنباز است که به منظور ایجاد و مدیریت باتنتها و تست نفوذ طراحی شده است. این ابزار دارای ماژولهای مختلفی برای انجام فعالیتهای مخرب مانند استخراج دادهها، رمزنگاری فایلها، ضبط صفحه نمایش و بسیاری فعالیتهای دیگر است. این ابزار در نقطه پایان استخراج اطلاعات (exfiltration endpoint) که به صورت یک سرویس تحت وب در سرور کنترل (C2) پیادهسازی شده است دارای آسیبپذیری بحرانی نوشتن فایل دلخواه Arbitrary File Write با شدت ۹.۸ و شناسه CVE-2024- 4525 است.
در BYOB، نقطه پایان استخراج اطلاعات در فایل api/files/routes.py پیادهسازی شده است. باتها از این نقطه پایان برای ارسال دادههای استخراجشده به سرور C2 استفاده میکنند. این دادهها میتواند شامل اطلاعات محرمانه، رمزهای عبور و اطلاعات شبکه باشد. سرور C2 با استفاده از تابع file_add در این فایل دادههای ارسالی از باتها را دریافت، ذخیره و پردازش میکند. به دلیل پیادهسازی نادرست مکانیزمهای اعتبارسنجی ورودی در این تابع مهاجم میتواند از طریق ارسال درخواست HTTP با پارامترهای خاص، بدون احراز هویت، فایلهایی را به سرور آپلود کرده و به پایگاه داده SQLite دسترسی و فایلهای موجود شامل دادههای استخراج شده و لاگها و غیره را بازنویسی کند.
محصولات تحت تاثیر
نسخه ۲.۰ که آخرین نسخه این ابزار است تحت تاثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
با توجه به متن باز بودن ابزار برای آموزش و ارتقاء امنیت سایبری و جلوگیری از بهرهبرداری، باید بهروزرسانی و به درستی ایمنسازی شود. رعایت موارد زیر در توسعه و سفارشیسازی پیشنهاد میگردد:
• برای جلوگیری از دور زدن احراز هویت فقط باتهای مجاز بتوانند به سرور C2 داده ارسال کنند.
• برای جلوگیری از آپلود فایلهای مخرب یا بازنویسی دادههای مهم، پارامترهای ورودی به درستی اعتبارسنجی گردند.
• برای انتقال دادههای حساس از رمزگذاری دادهها استفاده گردد.
منبع خبر:
- 11