ردیابی تماس و مکان تلفن‌همراه از طریق حمله ToRPEDO

رمزگذاری سرورهای لینوکسی توسط باج‌افزار B۰r۰nt۰K

استفاده از Google reCAPTCHA جعلی برای مخفی کردن بدافزار اندروید

رفع آسیب‌پذیری بحرانی افشای اطلاعات توسط Adobe

آسیب‌پذیری بسیار بحرانی در سیستم مدیریت محتوا دروپال

آسیب‌پذیری بحرانی در تمامی نسخه‌های WinRAR

ردیابی تماس و مکان تلفن‌همراه از طریق حمله ToRPEDO

گروهی از پژوهشگران دو دانشگاه Purdue وIowa چندین آسیب‌پذیری را در شبکه‌های تلفن همراه که بر پروتکل‌های ۴G و۵G LTE تأثیر می‌گذارند، کشف کردند.

به گزارش دیپروتد، به نقل از وب‌سایت SecurityAffairs، مهاجمین با استفاده از این نقص‌ها در حملات سایبری و با دسترسی از راه دور می‌توانند حفاظت‌های امنیتی پیاده‌سازی شده در ۴G و ۵G را دور بزنند.

از این طریق مهاجمین می‌توانند با استفاده از دستگاه‌های گیرنده IMSI، مکان تلفن همراه کاربران و تماس‌های آن‌ها را ردیابی کنند.

پژوهشگران سه نوع حمله را طراحی کرده‌اند که از مکانیزم فراخوانی (paging) استفاده می‌کنند.

حمله اصلی ToRPEDO  یا (TRacking via Paging mEssage DistributiOn) نام دارد که برای شناسایی مکان دستگاه هدف به کار می‌رود، همچنین از طریق این حمله، مهاجمین می‌توانند پیغام فراخوانی جعلی تزریق کنند و حملات انکار سرویس یا DoS انجام دهند.

هنگامی که یک دستگاه تلفن همراه در حالت بیکار باشد، در مصرف باتری صرفه‌جویی خواهد کرد. زمانی که یک دستگاه در این حالت تماس تلفنی یا پیامک دریافت کند، مکانیزم MME شبکه از نزدیک‌ترین ایستگاه پایه می‌خواهد تا پیام فراخوانی را منتقل کند تا دستگاه از متن یا تماس ورودی مطلع شود. پیام فراخوانی منتشر شده شامل Temporary Mobile Subscriber Identity  یا (TMSI) دستگاه است که به طور مرتب تغییر نمی‌کند. پژوهشگران دریافتند که اگر یک مهاجم در یک بازه زمانی کوتاه، چندین بار یک تماس را شروع و سپس بلافاصله متوقف کند، ایستگاه پایه مقدار TMSI را به طور مرتب در هنگام ارسال پیام‌های فراخوانی به سرعت به روز می‌کند. در این حالت مهاجم از وجود دستگاه قربانی مطلع می‌شود.

مهاجم می‌تواند با استفاده از دریافت‌کننده‌های IMSI مانند Stingrays، پیام‌های فراخوانی را شنود کند و متوجه وجود سیمکارت کاربر هدف در محدوده رهگیری شود. در صورتی که مهاجم از مکان‌های پر بازدید قربانی آگاه باشد، می‌تواند در این مکان‌ها دستگاه‌های شنود قرار دهد. پس از شناسایی مکان پیام‌های فراخوانی دستگاه هدف، مهاجمین می‌توانند حملات دیگری از جمله حملات DoS، سرقت کانال فراخوانی و غیره را انجام دهند.

حمله ToRPEDO علیه پروتکل‌های ۴G و ۵G LTE کار می‌کند و کارشناسان تایید کرده‌اند که این حمله به درستی در ۳ سرویس‌دهنده کشور کانادا و تمامی سرویس‌دهنده‌های کشور امریکا عمل کرده است.

دو حمله دیگر که مبتنی بر ToRPEDO هستند با نام‌های PIERCER و IMSI-Cracking شناخته می‌شوند. حمله PIERCER یا (Persistent Information ExposuRe by the CorE netwoRk) برای ارتباط دادن IMSI منحصر به فرد دستگاه قربانی با شماره همراه آن مورد استفاده قرار می‌گیرد.

همچنین، حملات ToRPEDO به مهاجمی که از شماره همراه قربانی مطلع است اجازه می‌دهد تا در شبکه‌های ۴G و ۵G، شناسه IMSI کاربر را از طریق حملات جستجوی فراگیر (brute-force) بدست آورد. پس از بدست آمدن شناسه IMSI، مهاجم می‌تواند بر تماس‌های قربانی جاسوسی کند و مکان وی را با استفاده از دریافت‌کننده‌های IMSI ردیابی کند.

رمزگذاری سرورهای لینوکسی توسط باج‌افزار B۰r۰nt۰K

باج‌افزار جدیدی کهB۰r۰nt۰K  نامیده می‌شود، وب‌سایت قربانیان را رمزگذاری کرده و تقاضای ۲۰ بیت کوین، یا تقریبا ۷۵۰۰۰ دلار باج می‌کند. این باج‌افزار به آلوده‌کردن سرورهای لینوکس شناخته می‌شود، اما ممکن است قادر به رمزگذاری کاربران ویندوز نیز باشد.

به گزارش دیپروتد، به نقل از وب‌سایت BleepingComputer، به تازگی کاربری بیان‌ کرده است که وب سایت شخصی خود با باج‌افزار جدید  B۰r۰nt۰K رمزگذاری شده ‌است. این وب سایت رمزگذاری شده در حال اجرا روی اوبونتو ۱۶,۰۴ بوده و اکنون تمام فایل‌های آن رمزگذاری ‌شده، تغییر نام داده و پسوند rontok.  به آن‌ها اضافه شده ‌است.

بدلیل اینکه نمونه‌ای از باج‌افزار پیدا نشده، اطلاعات زیادی در مورد آن به جز آن ‌چه از فایل‌های ثبت‌ شده و با بررسی سایت پرداخت باج به دست آمده ‌است، وجود ندارد.

هنگام رمزگذاری یک فایل، B۰r۰nt۰K داده‌ها را با base۶۴ رمزگذاری می‌کند. نام فایل نیز به همراه رمزگذاری تغییر داده ‌می‌شود. مثالی از نام فایل رمزگذاری شده zmAAwbbilFw۶۹b۷ag۴G۴bQ%۳D%۳D.rontok است.

کاربر قربانی قادر به ارائه یادداشت باج‌خواهی نبود، اما آدرس URL سایت پرداخت باج، یعنی /hxxps://borontok.uk را منتشر کرده است. هنگام بازدید از این سایت، از کاربر خواسته می‌شود که شناسه شخصی خود را وارد کند.

هنگامی که شناسه وارد شود، کاربر با صفحه پرداختی مواجه می‌شود که شامل مبلغ باج درخواستی بیت‌کوین، آدرس پرداخت بیت‌کوین و ایمیل info[at]botontok[dot]uk  برای ارتباط با توسعه‌دهندگان است. در این مورد خاص، باج درخواستی ۲۰ بیت‌کوین بوده که معادل ۷۵۰۰۰ دلار است. هرچند بنظر می‌رسد که توسعه‌دهندگان باج‌افزار، مایل به مذاکره بر سر قیمت هستند.

استفاده از Google reCAPTCHA جعلی برای مخفی کردن بدافزار اندروید

پژوهشگران به تازگی کمپین فیشینگی را شناسایی کرده‌اند که کاربران برنامه‌های آنلاین بانکی را هدف قرار داده و با جازدن خود به عنوان گوگل در تلاش برای سرقت اطلاعات با ارزش آن‌ها است.

به نقل از ZDNet، در موج حمله اخیر، این بدافزار خود را به جای سیستم‌های Google reCAPTCHA جا می‌زند و قربانیان را به کلیک روی لینک‌های مخرب جاسازی شده در ایمیل‌های کلاهبرداری، مجاب می‌کند.

این ایمیل‌ها حاوی یک لینک تأیید جعلی برای یک تراکنش، به همراه لینک به یک فایل .PHP مخرب هستند. پیام‌های فرستاده ‌شده به قربانیان از آن‌ها می‌خواهد با کلیک‌کردن روی لینک، این تراکنش‌ها که وجود خارجی ندارند را تایید کنند.

این روش حمله جدید نیست، اما مرحله بعدی آن غیرمعمول‌ است. اگر قربانی متوجه جعلی‌ بودن پیام نشود و روی پیوند کلیک‌ کند، به نسخه کپی و جعلی سایت بانک فرستاده نمی‌شود، بلکه فایل PHP یک صفحه جعلی با خطا ۴۰۴ را نمایش می‌دهد. این صفحه حاوی چندین user-agent خاص است که مربوط به خزنده وب گوگل هستند. اگر درخواست، مربوط به خزنده وب گوگل نبوده یا به عبارت دیگر از موتورهای جستجوی دیگر باشد، اسکریپتPHP  یک reCAPTCHA جعلی گوگل را که متشکل از کد جاوااسکریپت و HTML ثابت و استاتیک است، بارگیری می‌کند.

این صفحه جعلی reCAPTCHA  به خوبی عمل ‌می‌کند، اما از آن‌جا که بر عناصر استاتیک تکیه می‌کند، تصاویر آن همیشه ثابت هستند، مگر این که کد فایل مخرب PHP تغییر کند. علاوه بر این، بر خلاف نسخه واقعی، این صفحه reCAPTCHA جعلی از پخش صوتی نیز پشتیبانی نمی‌کند.

در ادامه یک دراپر فایل ZIP در کنار یک فایل APK مخرب برای کاربران اندرویدی، منتقل می‌شود. بدافزار اغلب به فرم اندروید خود دیده‌ شده ‌است و قادر به استخراج وضعیت، موقعیت مکانی و مخاطبین یک دستگاه تلفن‌همراه است. همچنین توانایی پویش و ارسال پیامک، برقراری تماس‌تلفنی، ضبط صدا و سرقت اطلاعات حساس دیگر را دارد.

این تروجان به نام‌های Banker، BankBot، Evo-gen، Artemis و چند نام دیگر توسط آنتی‌ویروس‌ها شناخته می‌شود.

رفع آسیب‌پذیری بحرانی افشای اطلاعات توسط Adobe

شرکت Adobe در تاریخ ۱۲ فوریه (۲۳ بهمن) یک بروزرسانی امنیتی را برای رفع یک آسیب‌پذیری روز صفر با شناسه CVE-۲۰۱۹-۷۰۸۹ منتشر کرد.

 به نقل از وب‌سایت BleepingComputer، این آسیب‌پذیری منجر به افشای اطلاعات حساس کاربر در برنامه‌های آسیب‌پذیر Adobe Acrobat و Reader برای سیستم‌عامل‌های ویندوز و macOS خواهد شد. آسیب‌پذیری روز صفر کشف شده تمامی نسخه‌های Adobe Acrobat Reader DC تا قبل از نسخه ۱۹,۰۱۰.۲۰۰۶۹ را تحت تاثیر قرار می‌دهد.

نقص افشای اطلاعات باعث می‌شود تا یک سند PDF مخرب بتواند هش NTLM قربانی را در قالب یک درخواست SMB برای مهاجمین ارسال کند. پس از تایید عدم رفع این آسیب‌پذیری از طریق بروزرسانی ارائه شده توسط Adobe، یک شناسه دیگر (CVE-۲۰۱۹-۷۸۱۵) به همراه درجه حساسیت بحرانی برای این نقص تعیین شد و با انتشار یک بروزرسانی دیگر، تلاش شده است تا این نقص بطور کامل برطرف شود.

به گفته یکی از پژوهشگران امنیتی ACROS، هر دو آسیب‌پذیری CVE ۲۰۱۹-۷۰۸۹ و CVE-۲۰۱۹-۷۸۱۵ تاثیر مشابه آسیب‌پذیری کشف شده در سال ۲۰۱۸ توسط Check Point دارد. آسیب‌پذیری کشف شده توسط Check Point با شناسه CVE-۲۰۱۸-۴۹۹۳ ردیابی می‌شود که این نقص نیز هش NTLM کاربر را از طریق درخواست SMB به سرقت می‌برد.

آسیب‌پذیری بسیار بحرانی در سیستم مدیریت محتوا دروپال

دروپال، پس از افشا وجود یک باگ اجرای کد از راه دور بسیار حیاتی در هسته سیستم مدیریت محتوا (CMS) دروپال، به مدیران وب‌سایت‌ها توصیه کرد تا هر چه سریعتر برای نصب بروزرسانی ارائه شده اقدام کنند.

 به نقل از ZDNet، دروپال سومین CMS مشهور است که حدود سه درصد از وب‌سایت‌ها از آن استفاده می‌کنند. باگ منتشر شده با شناسه CVE-۲۰۱۹-۶۳۴۰ ردیابی می‌شود که یک مهاجم با سوء استفاده از آن می‌تواند یک وب‌سایت دروپال را به سرقت ببرد و کنترل وب سرور آن را به دست گیرد. این باگ بدلیل عدم پاکسازی برخی از نوع‌های فایل‌های دریافت شده از منابع غیر form، مانند وب‌سرویس‌های RESTful بوجود آمده است. این نقص منجر به اجرای کد PHP دلخواه می‌شود.

تا هنگام نصب بروزرسانی، مدیران وب‌سایت‌ها می‌توانند با غیرفعال‌سازی ماژول‌های وب‌سرویس‌ها، اثرات این باگ را کاهش دهند. همچنین با غیرفعال‌سازی درخواست‌های PUT/PATCH/POST به منابع وب‌سرویس‌ها نیز می‌توان اثرات این نقص را کاهش داد.

نسخه‌های ۸,۶.x و ۸.۵.x و پایینتر دروپال نسبت به این نقص آسیب‌پذیر هستند. نسخه‌های اصلاح شده ۸.۶.۱۰ و ۸.۵.۱۱ هستند که مدیران وب‌سایت‌ها باید هرچه سریع‌تر به این نسخه‌ها بروزرسانی کنند. سایت‌هایی با هسته دروپال ۸ که ماژول وب‌سرویس RESTful آنها فعال باشد و درخواست‌های PATCH و POST در آنها مجاز باشد تحت تاثیر قرار گرفته‌اند. همچنین سایتایی با سایر ماژول‌های فعال وب‌سرویس مانند JSON:API در دروپال ۸ و ماژول Service یا ماژول RESTful Web Service در دروپال ۷ نیز آسیب‌پذیر هستند.

آسیب‌پذیری بحرانی در تمامی نسخه‌های WinRAR

یکی از محبوب‌ترین نرم‌افزارهای فشرده‌سازی فایل ویندوز، برنامه WinRAR، در ماه گذشته یک نقص امنیتی بحرانی را برطرف کرده است که می‌تواند به منظور نفوذ به سیستم‌های کاربران، تنها با فریب کاربر به باز کردن یک فایل آرشیو مخرب، مورد سوء استفاده قرار گیرد.

 به نقل از وب‌سایت ZDNet، این آسیب‌پذیری که سال گذشته توسط پژوهشگران امنیتیCheck Point  کشف شده است، تمام نسخه‌های WinRAR منتشر شده در ۱۹ سال گذشته را تحت تاثیر قرار می‌دهد.

در وب سایت WinRAR، تیم این برنامه اعلام کرده که WinRAR دارای بیش از ۵۰۰ میلیون کاربر است. هر یک از این کاربران به احتمال زیاد تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند. خوشبختانه یک بروزرسانی برای رفع این نقص در ماه گذشته منتشر شده است.

با توجه به بررسی‌های فنی Check Point، آسیب‌پذیری در کتابخانه UNACEV۲.DLL وجود دارد که در تمامی نسخه‌های WinRAR موجود است. این کتابخانه مسئول باز کردن آرشیوهای فرمت ACE است. پژوهشگران Check Point روش‌هایی برای ساخت آرشیوهای ACE مخرب کشف کرده‌اند که هنگام بازکردن فایل آرشیو، با استفاده از نقص‌های کد مورد استفاده در این کتابخانه، فایل‌های مخرب را در خارج از مسیر در نظر گرفته شده قرار می‌دهند. به عنوان مثال، پژوهشگران Check Point توانستند از این آسیب‌پذیری برای نصب نرم‌افزارهای مخرب در پوشه راه‌اندازی ویندوز سوء استفاده کنند تا نرم‌افزارهای مخرب بعد از راه‌اندازی مجدد سیستم، اجرا شوند و سیستم را آلوده کنند. تیم Check Point یک ویدئو اثبات مفهومی مرتبط با این فرایند نیز منتشر کرده است.

توسعه‌دهندگان WinRAR نسخه WinRAR ۵,۷۰ Beta ۱ را در تاریخ ۲۸ ژانویه (۸ بهمن)، برای رفع این آسیب‌پذیری (دارای شناسه‌های CVE-۲۰۱۸-۲۰۲۵۰، CVE-۲۰۱۸-۲۰۲۵۱، CVE-۲۰۱۸-۲۰۲۵۲ و CVE-۲۰۱۸-۲۵۳) منتشر کردند.

بدلیل استفاده گسترده و تعداد بالای کاربران WinRAR، این آسیب‌پذیری مورد هدف عوامل مخرب قرار خواهد گرفت. توصیه می‌شود تا کاربران از بازکردن فایل‌های ACE دریافت شده پرهیز کنند و نسخه WinRAR خود را بروزرسانی کنند.

منابع: