روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین کسپرسکی شاهد اکسپلویت آسیب‌پذیریِ تازه‌کشف‌شده‌ای به نام CVE-2022-41352 بوده‌اند که در مجموعه نرم‌افزاری مشترک Zimbra یافت‌شده است. گفته می‌شود دست‌های پشت پرده گروه‌های APT ناشناس هستند. دست کم یکی از این گروه‌ها در حال حمله به سرورهای آسیب‌پذیر در آسیای مرکزی است. با ما همراه بمانید.

CVE-2022-41352 چیست و چرا خطرناک است؟

این آسیب‌پذیری در یک ابزار آن‌پکینگِ آرشیو به نام cpio پیدا شد که فیلتر محتوای Amavis آن را استفاده می‌کرد؛ فیلتری که بخشی است بسته‌ی Zimbra Collaboration محسوب می‌شود. مهاجمین می‌توانند یک آرشیو مخرب  .tar دست و پا کنند و نیز در آن یک وب‌شل[1] جاساز کرده آن را به سروری بفرستند که نرم‌افزار آسیب‌پذیر Zimbra Collaboration را اجرا می‌کند. وقتی فیلتر Amavis شروع به بررسی این آرشیو می‌کند، نرم‌افزار cpio را فرامی‌خواند، نرم‌افزاری که کارش آن‌پک کردن وب‌شل در یکی از دایرکتوری‌های عمومی است.

سپس مجرمان سایبری فقط کافیست وب‌شل خود را اجرا کرده و شروع کنند به اجرای فرمان‌های دلخواه روی سرور مورد حمله. به بیانی دیگر، این آسیب‌پذیری مشابه با چیزی که در ماژول تارفایل رخ داده بود. آنچه این آسیب‌پذیری را خطرناک می‌کند این است که اکسپلویت آن به فریم‌ورک متاسپلویت –پلت‌فرمی که به لحاظ تئوری کارش پژوهش امنیتی و تست نفوذ است اما اغلب توسط مهاجمین برای حملات واقعی مورد استفاده قرار می‌گیرد- اضافه شده است. از این رو، اکسپلویت CVE-2022-41352 اکنون می‌تواند حتی براحتی توسط مجرمان تازه‌کار و مبتدی هم استفاده شود.

راهکارهای امنیتی

تاریخ 14 اکتبر زیمبرا پچی به همراه دستورالعمل‌های نصب منتشر کرد. پس اولین گام منطقی این است که این آپدیت‌ جدید را نصب کنید. اگر به هر دلیلی نتوانستید پچ را نصب کنید راه چاره این خواهد بود: جلوی حمله را می‌شود با نصب نرم‌افزار pax روی یک سرور آسیب‌پذیر گرفت. در این مورد Amavis برای آن‌پک  کردن آرشیوهای تار به جای cpio از pax استفاده خواهد کرد. با این حال، فراموش نکنید که یک راهکار نهایی برای چنین مشکلی نیست: به لحاظ تئوری مهاجمین می‌توانند به متود اکسپلویت دیگری متوسل شوند.

اگر شک دارید که از طریق این آسیب‌پذیری دارید مورد حمله قرار می‌گیرید یا اگر وب‌شلی را در یکی از دایرکتوری‌ها پیدا کردید، متخصصین ما توصیه می‌کنند با متخصصین مسئول بخش واکنش به رخداد سایبری تماس بگیرید. شاید دلیل این باشد که مهاجمین از قبل به سایر اکانت‌های سرویس دسترسی پیدا کرده‌اند یا حتی بک‌درهایی را نصب کرده‌اند. این بدان‌ها فرصت می‌دهد تا حتی اگر وب‌شل هم پاک شده باشد باز بتوانند به سیستم مورد حمله دسترسی پیدا کنند. راهکارهای امنیتی کسپرسکی به طور موفقیت‌آمیزی اقدامات اکسپلویت آسیب‌پذیری CVE-2022-41352 را شناسایی و بلاک می‌کنند.

[1] WEB-SHELL

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.