روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ عاملین تهدید شروع کردهاند به اکسپلویتِ باگی مهم در ماژولهای ارائهدهندهی سرویس اپ F5’s BIG-IP. در حقیقت آنها بعد از اینکه این آسیبپذیری به طور عمومی در دسترس قرار گرفت دست به اکسپلویت آن زدند. در ادامه با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم.
این آسیبپذیری با عنوان CVE-2020-1388 رهگیری شده است و به مهاجمین اجازه میدهد تا فرمانهای دلخواه سیستم را اجرا کرده، فایلهایی را ساخته یا حذف کرده و یا سرویسهایی را روی سیستمهای BIG-IP خود غیرفعال نمایند. F5 هفته گذشته وقتی محققین آن را باگی مهم و حیاتی شناسایی کردند هشداری را صادر کرد. پچها و متودهای تخفیف اثر سوء این اکسپلویت که F5 ارائه داده است میتوانند ماژولهای آسیبپذیر BIG-IP iControl را که به مؤلفهی احراز هویت REST[1] ربط دارند کاهش دهد. اگر آنها بدون پچ باقی بمانند هکر میتواند از آن ضعفها سوءاستفاده کرده و با مزایای روت سیستم دست به اجرای فرمانهایی بزنند. مدیر بخش تحقیق و توسعه شرکت امنیتی Randori به نام آرون پورتنوی در این باره میگوید، «این مسئله به مهاجمین اجازه میدهد تا به رابط مدیریتی دسترسی داشته باشند و به دلیل نقص در پیادهسازی احراز هویت خود را ادمین معرفی کنند. وقتی ادمین باشید میتوانید با همه اندپوینتهایی که اپ ارائه میدهد از جمله کد اجرا تعامل داشته باشید».
به نقل از محقق امنیتی به نام جیکوب بینز، هزاران سیستم BIG-IP در فضای اینترنت در معرض خطر قرار دارند و مهاجمین میتوانند از راه دور آنها را اکسپویت کنند.
اکسپلویت پیوسته و فعال
محققین امنیتی اعلام کردند این آسیبپذیری دارد در محیط بیرون به صورت فعال اکسپویت میشود و عکسهای مرتبط با کد اثبات اجرای آن تحت عنوان CVE-2020-1388 در فضای توییتر پخش شده است. این اکسپلویتها اکنون به طور عمومی در دسترس هستند و محققین امنیتی هشدار دادند هکرها با ارسال دو فرمان و یک سری هدر میتوانند از این آسیبپذیری نهایت استفاده را کرده اندپوینت اپ F5 را که Bash نام دارد (در فضای نت وجد دارد) هدف قرار داده و بدان دسترسی پیدا کنند. کارکرد این اندپوینت به صورتی است که یک رابط برای اجرای ورودیهای ارائه شده توسط کاربر به عنوان یک دستور bash با امتیازات ریشه داده میشود.
محقق امنیتی مرکز Cronup به نام ژرمن فرناندز خاطرنشان کرد هکرها دارند وبشلهای php را در /tmp/f5.sh دراپ کرده و آنها را در /usr/local/www/xui/common/css/ نصب میکنند. حملات نشان میدهد عاملین تهدید دارند برای دراپ کردن این پیلود از آدرسهای 216[.]162.206[.]213 و 209[.]127.252[.]207 استفاده میکنند. این پیلود بعد از نصب از سیستم اجرا شده و حذف خواهد شد. این اکسپویت همچنین میتواند وقتی هیچ پسوردی ارائه نشده هم کار کند (به نقل از ویل دورمن، تحلیلگر آسیبپذیری در CERT/CC). برخی از این اقدامات اکسپلویت شاید رابط مدیریتی را هدف نگیرد (به نقل از کوین بیومونت). اگر باکس F5 از طریق آیپی شخصی به عنوان تعدیلگر لود و دیوار آتشین تنظیم شود نیز باز آسیبپذیری خواهد بود.
سهولت این اکسپلویت و اصطلاح رایج اندپوینت آسیبپذیر bash -که پوسته محبوب لینوکس است- شک و ظن را در میان محققان امنیتی ایجاد میکند، زیرا آنها معتقدند که به اشتباه به پست این محصول نخورده است. آسیبپذیری CVE-2022-1388 مطمئناً اشتباهی فاحش بوده است از سوی توسعهدهنده F5. موافقید؟ (این گفتهی محقق ویل دورمن است!).
توئیت جیک ویلیامز تحلیلگر آسیبپذیریی در CERT/CC: «هنوز کاملاً توجیه نشدم که این کد را توسعهدهنده برای جاسوسی سازمانی نکاشته است. این کار میتواند نوعی طرح تضمین درآمد باشد!».
پچها را سریعاً اعمال کنید
توصیه ما به ادمینها این است که دستورالعملها را مو به مو عمل کنند و پچهای موجود را سریعاً نصب نمایند. همچنین توصیه میکنیم دسترسی به رابط مدیریتی را از اینترنت عمومی بردارید.
[1] representational state transfer
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
