روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متخصصین کسپرسکی شاهد اکسپلویت آسیبپذیریِ تازهکشفشدهای به نام CVE-2022-41352 بودهاند که در مجموعه نرمافزاری مشترک Zimbra یافتشده است. گفته میشود دستهای پشت پرده گروههای APT ناشناس هستند. دست کم یکی از این گروهها در حال حمله به سرورهای آسیبپذیر در آسیای مرکزی است. با ما همراه بمانید.
CVE-2022-41352 چیست و چرا خطرناک است؟
این آسیبپذیری در یک ابزار آنپکینگِ آرشیو به نام cpio پیدا شد که فیلتر محتوای Amavis آن را استفاده میکرد؛ فیلتری که بخشی است بستهی Zimbra Collaboration محسوب میشود. مهاجمین میتوانند یک آرشیو مخرب .tar دست و پا کنند و نیز در آن یک وبشل[1] جاساز کرده آن را به سروری بفرستند که نرمافزار آسیبپذیر Zimbra Collaboration را اجرا میکند. وقتی فیلتر Amavis شروع به بررسی این آرشیو میکند، نرمافزار cpio را فرامیخواند، نرمافزاری که کارش آنپک کردن وبشل در یکی از دایرکتوریهای عمومی است.
سپس مجرمان سایبری فقط کافیست وبشل خود را اجرا کرده و شروع کنند به اجرای فرمانهای دلخواه روی سرور مورد حمله. به بیانی دیگر، این آسیبپذیری مشابه با چیزی که در ماژول تارفایل رخ داده بود. آنچه این آسیبپذیری را خطرناک میکند این است که اکسپلویت آن به فریمورک متاسپلویت –پلتفرمی که به لحاظ تئوری کارش پژوهش امنیتی و تست نفوذ است اما اغلب توسط مهاجمین برای حملات واقعی مورد استفاده قرار میگیرد- اضافه شده است. از این رو، اکسپلویت CVE-2022-41352 اکنون میتواند حتی براحتی توسط مجرمان تازهکار و مبتدی هم استفاده شود.
راهکارهای امنیتی
تاریخ 14 اکتبر زیمبرا پچی به همراه دستورالعملهای نصب منتشر کرد. پس اولین گام منطقی این است که این آپدیت جدید را نصب کنید. اگر به هر دلیلی نتوانستید پچ را نصب کنید راه چاره این خواهد بود: جلوی حمله را میشود با نصب نرمافزار pax روی یک سرور آسیبپذیر گرفت. در این مورد Amavis برای آنپک کردن آرشیوهای تار به جای cpio از pax استفاده خواهد کرد. با این حال، فراموش نکنید که یک راهکار نهایی برای چنین مشکلی نیست: به لحاظ تئوری مهاجمین میتوانند به متود اکسپلویت دیگری متوسل شوند.
اگر شک دارید که از طریق این آسیبپذیری دارید مورد حمله قرار میگیرید یا اگر وبشلی را در یکی از دایرکتوریها پیدا کردید، متخصصین ما توصیه میکنند با متخصصین مسئول بخش واکنش به رخداد سایبری تماس بگیرید. شاید دلیل این باشد که مهاجمین از قبل به سایر اکانتهای سرویس دسترسی پیدا کردهاند یا حتی بکدرهایی را نصب کردهاند. این بدانها فرصت میدهد تا حتی اگر وبشل هم پاک شده باشد باز بتوانند به سیستم مورد حمله دسترسی پیدا کنند. راهکارهای امنیتی کسپرسکی به طور موفقیتآمیزی اقدامات اکسپلویت آسیبپذیری CVE-2022-41352 را شناسایی و بلاک میکنند.
[1] WEB-SHELL
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
