اخبار امنیتی هفته گذشته
ردیابی تماس و مکان تلفنهمراه از طریق حمله ToRPEDO
رمزگذاری سرورهای لینوکسی توسط باجافزار B۰r۰nt۰K
استفاده از Google reCAPTCHA جعلی برای مخفی کردن بدافزار اندروید
رفع آسیبپذیری بحرانی افشای اطلاعات توسط Adobe
آسیبپذیری بسیار بحرانی در سیستم مدیریت محتوا دروپال
آسیبپذیری بحرانی در تمامی نسخههای WinRAR
ردیابی تماس و مکان تلفنهمراه از طریق حمله ToRPEDO
گروهی از پژوهشگران دو دانشگاه Purdue وIowa چندین آسیبپذیری را در شبکههای تلفن همراه که بر پروتکلهای ۴G و۵G LTE تأثیر میگذارند، کشف کردند.
به گزارش
دیپروتد، به نقل از وبسایت SecurityAffairs، مهاجمین با استفاده از این نقصها در حملات سایبری و با دسترسی از راه دور میتوانند حفاظتهای امنیتی پیادهسازی شده در ۴G و ۵G را دور بزنند.
از این طریق مهاجمین میتوانند با استفاده از دستگاههای گیرنده IMSI، مکان تلفن همراه کاربران و تماسهای آنها را ردیابی کنند.
پژوهشگران سه نوع حمله را طراحی کردهاند که از مکانیزم فراخوانی (paging) استفاده میکنند.
حمله اصلی ToRPEDO یا (TRacking via Paging mEssage DistributiOn) نام دارد که برای شناسایی مکان دستگاه هدف به کار میرود، همچنین از طریق این حمله، مهاجمین میتوانند پیغام فراخوانی جعلی تزریق کنند و حملات انکار سرویس یا DoS انجام دهند.
هنگامی که یک دستگاه تلفن همراه در حالت بیکار باشد، در مصرف باتری صرفهجویی خواهد کرد. زمانی که یک دستگاه در این حالت تماس تلفنی یا پیامک دریافت کند، مکانیزم MME شبکه از نزدیکترین ایستگاه پایه میخواهد تا پیام فراخوانی را منتقل کند تا دستگاه از متن یا تماس ورودی مطلع شود. پیام فراخوانی منتشر شده شامل Temporary Mobile Subscriber Identity یا (TMSI) دستگاه است که به طور مرتب تغییر نمیکند. پژوهشگران دریافتند که اگر یک مهاجم در یک بازه زمانی کوتاه، چندین بار یک تماس را شروع و سپس بلافاصله متوقف کند، ایستگاه پایه مقدار TMSI را به طور مرتب در هنگام ارسال پیامهای فراخوانی به سرعت به روز میکند. در این حالت مهاجم از وجود دستگاه قربانی مطلع میشود.
مهاجم میتواند با استفاده از دریافتکنندههای IMSI مانند Stingrays، پیامهای فراخوانی را شنود کند و متوجه وجود سیمکارت کاربر هدف در محدوده رهگیری شود. در صورتی که مهاجم از مکانهای پر بازدید قربانی آگاه باشد، میتواند در این مکانها دستگاههای شنود قرار دهد. پس از شناسایی مکان پیامهای فراخوانی دستگاه هدف، مهاجمین میتوانند حملات دیگری از جمله حملات DoS، سرقت کانال فراخوانی و غیره را انجام دهند.
حمله ToRPEDO علیه پروتکلهای ۴G و ۵G LTE کار میکند و کارشناسان تایید کردهاند که این حمله به درستی در ۳ سرویسدهنده کشور کانادا و تمامی سرویسدهندههای کشور امریکا عمل کرده است.
دو حمله دیگر که مبتنی بر ToRPEDO هستند با نامهای PIERCER و IMSI-Cracking شناخته میشوند. حمله PIERCER یا (Persistent Information ExposuRe by the CorE netwoRk) برای ارتباط دادن IMSI منحصر به فرد دستگاه قربانی با شماره همراه آن مورد استفاده قرار میگیرد.
همچنین، حملات ToRPEDO به مهاجمی که از شماره همراه قربانی مطلع است اجازه میدهد تا در شبکههای ۴G و ۵G، شناسه IMSI کاربر را از طریق حملات جستجوی فراگیر (brute-force) بدست آورد. پس از بدست آمدن شناسه IMSI، مهاجم میتواند بر تماسهای قربانی جاسوسی کند و مکان وی را با استفاده از دریافتکنندههای IMSI ردیابی کند.
رمزگذاری سرورهای لینوکسی توسط باجافزار B۰r۰nt۰K
باجافزار جدیدی کهB۰r۰nt۰K نامیده میشود، وبسایت قربانیان را رمزگذاری کرده و تقاضای ۲۰ بیت کوین، یا تقریبا ۷۵۰۰۰ دلار باج میکند. این باجافزار به آلودهکردن سرورهای لینوکس شناخته میشود، اما ممکن است قادر به رمزگذاری کاربران ویندوز نیز باشد.
به گزارش
دیپروتد، به نقل از وبسایت BleepingComputer، به تازگی کاربری بیان کرده است که وب سایت شخصی خود با باجافزار جدید B۰r۰nt۰K رمزگذاری شده است. این وب سایت رمزگذاری شده در حال اجرا روی اوبونتو ۱۶,۰۴ بوده و اکنون تمام فایلهای آن رمزگذاری شده، تغییر نام داده و پسوند rontok. به آنها اضافه شده است.
بدلیل اینکه نمونهای از باجافزار پیدا نشده، اطلاعات زیادی در مورد آن به جز آن چه از فایلهای ثبت شده و با بررسی سایت پرداخت باج به دست آمده است، وجود ندارد.
هنگام رمزگذاری یک فایل، B۰r۰nt۰K دادهها را با base۶۴ رمزگذاری میکند. نام فایل نیز به همراه رمزگذاری تغییر داده میشود. مثالی از نام فایل رمزگذاری شده zmAAwbbilFw۶۹b۷ag۴G۴bQ%۳D%۳D.rontok است.
کاربر قربانی قادر به ارائه یادداشت باجخواهی نبود، اما آدرس URL سایت پرداخت باج، یعنی /hxxps://borontok.uk را منتشر کرده است. هنگام بازدید از این سایت، از کاربر خواسته میشود که شناسه شخصی خود را وارد کند.
هنگامی که شناسه وارد شود، کاربر با صفحه پرداختی مواجه میشود که شامل مبلغ باج درخواستی بیتکوین، آدرس پرداخت بیتکوین و ایمیل info[at]botontok[dot]uk برای ارتباط با توسعهدهندگان است. در این مورد خاص، باج درخواستی ۲۰ بیتکوین بوده که معادل ۷۵۰۰۰ دلار است. هرچند بنظر میرسد که توسعهدهندگان باجافزار، مایل به مذاکره بر سر قیمت هستند.
استفاده از Google reCAPTCHA جعلی برای مخفی کردن بدافزار اندروید
پژوهشگران به تازگی کمپین فیشینگی را شناسایی کردهاند که کاربران برنامههای آنلاین بانکی را هدف قرار داده و با جازدن خود به عنوان گوگل در تلاش برای سرقت اطلاعات با ارزش آنها است.
به نقل از ZDNet، در موج حمله اخیر، این بدافزار خود را به جای سیستمهای Google reCAPTCHA جا میزند و قربانیان را به کلیک روی لینکهای مخرب جاسازی شده در ایمیلهای کلاهبرداری، مجاب میکند.
این ایمیلها حاوی یک لینک تأیید جعلی برای یک تراکنش، به همراه لینک به یک فایل .PHP مخرب هستند. پیامهای فرستاده شده به قربانیان از آنها میخواهد با کلیککردن روی لینک، این تراکنشها که وجود خارجی ندارند را تایید کنند.
این روش حمله جدید نیست، اما مرحله بعدی آن غیرمعمول است. اگر قربانی متوجه جعلی بودن پیام نشود و روی پیوند کلیک کند، به نسخه کپی و جعلی سایت بانک فرستاده نمیشود، بلکه فایل PHP یک صفحه جعلی با خطا ۴۰۴ را نمایش میدهد. این صفحه حاوی چندین user-agent خاص است که مربوط به خزنده وب گوگل هستند. اگر درخواست، مربوط به خزنده وب گوگل نبوده یا به عبارت دیگر از موتورهای جستجوی دیگر باشد، اسکریپتPHP یک reCAPTCHA جعلی گوگل را که متشکل از کد جاوااسکریپت و HTML ثابت و استاتیک است، بارگیری میکند.
این صفحه جعلی reCAPTCHA به خوبی عمل میکند، اما از آنجا که بر عناصر استاتیک تکیه میکند، تصاویر آن همیشه ثابت هستند، مگر این که کد فایل مخرب PHP تغییر کند. علاوه بر این، بر خلاف نسخه واقعی، این صفحه reCAPTCHA جعلی از پخش صوتی نیز پشتیبانی نمیکند.
در ادامه یک دراپر فایل ZIP در کنار یک فایل APK مخرب برای کاربران اندرویدی، منتقل میشود. بدافزار اغلب به فرم اندروید خود دیده شده است و قادر به استخراج وضعیت، موقعیت مکانی و مخاطبین یک دستگاه تلفنهمراه است. همچنین توانایی پویش و ارسال پیامک، برقراری تماستلفنی، ضبط صدا و سرقت اطلاعات حساس دیگر را دارد.
این تروجان به نامهای Banker، BankBot، Evo-gen، Artemis و چند نام دیگر توسط آنتیویروسها شناخته میشود.
رفع آسیبپذیری بحرانی افشای اطلاعات توسط Adobe
شرکت Adobe در تاریخ ۱۲ فوریه (۲۳ بهمن) یک بروزرسانی امنیتی را برای رفع یک آسیبپذیری روز صفر با شناسه CVE-۲۰۱۹-۷۰۸۹ منتشر کرد.
به نقل از وبسایت BleepingComputer، این آسیبپذیری منجر به افشای اطلاعات حساس کاربر در برنامههای آسیبپذیر Adobe Acrobat و Reader برای سیستمعاملهای ویندوز و macOS خواهد شد. آسیبپذیری روز صفر کشف شده تمامی نسخههای Adobe Acrobat Reader DC تا قبل از نسخه ۱۹,۰۱۰.۲۰۰۶۹ را تحت تاثیر قرار میدهد.
نقص افشای اطلاعات باعث میشود تا یک سند PDF مخرب بتواند هش NTLM قربانی را در قالب یک درخواست SMB برای مهاجمین ارسال کند. پس از تایید عدم رفع این آسیبپذیری از طریق بروزرسانی ارائه شده توسط Adobe، یک شناسه دیگر (CVE-۲۰۱۹-۷۸۱۵) به همراه درجه حساسیت بحرانی برای این نقص تعیین شد و با انتشار یک بروزرسانی دیگر، تلاش شده است تا این نقص بطور کامل برطرف شود.
به گفته یکی از پژوهشگران امنیتی ACROS، هر دو آسیبپذیری CVE ۲۰۱۹-۷۰۸۹ و CVE-۲۰۱۹-۷۸۱۵ تاثیر مشابه آسیبپذیری کشف شده در سال ۲۰۱۸ توسط Check Point دارد. آسیبپذیری کشف شده توسط Check Point با شناسه CVE-۲۰۱۸-۴۹۹۳ ردیابی میشود که این نقص نیز هش NTLM کاربر را از طریق درخواست SMB به سرقت میبرد.
آسیبپذیری بسیار بحرانی در سیستم مدیریت محتوا دروپال
دروپال، پس از افشا وجود یک باگ اجرای کد از راه دور بسیار حیاتی در هسته سیستم مدیریت محتوا (CMS) دروپال، به مدیران وبسایتها توصیه کرد تا هر چه سریعتر برای نصب بروزرسانی ارائه شده اقدام کنند.
به نقل از ZDNet، دروپال سومین CMS مشهور است که حدود سه درصد از وبسایتها از آن استفاده میکنند. باگ منتشر شده با شناسه CVE-۲۰۱۹-۶۳۴۰ ردیابی میشود که یک مهاجم با سوء استفاده از آن میتواند یک وبسایت دروپال را به سرقت ببرد و کنترل وب سرور آن را به دست گیرد. این باگ بدلیل عدم پاکسازی برخی از نوعهای فایلهای دریافت شده از منابع غیر form، مانند وبسرویسهای RESTful بوجود آمده است. این نقص منجر به اجرای کد PHP دلخواه میشود.
تا هنگام نصب بروزرسانی، مدیران وبسایتها میتوانند با غیرفعالسازی ماژولهای وبسرویسها، اثرات این باگ را کاهش دهند. همچنین با غیرفعالسازی درخواستهای PUT/PATCH/POST به منابع وبسرویسها نیز میتوان اثرات این نقص را کاهش داد.
نسخههای ۸,۶.x و ۸.۵.x و پایینتر دروپال نسبت به این نقص آسیبپذیر هستند. نسخههای اصلاح شده ۸.۶.۱۰ و ۸.۵.۱۱ هستند که مدیران وبسایتها باید هرچه سریعتر به این نسخهها بروزرسانی کنند. سایتهایی با هسته دروپال ۸ که ماژول وبسرویس RESTful آنها فعال باشد و درخواستهای PATCH و POST در آنها مجاز باشد تحت تاثیر قرار گرفتهاند. همچنین سایتایی با سایر ماژولهای فعال وبسرویس مانند JSON:API در دروپال ۸ و ماژول Service یا ماژول RESTful Web Service در دروپال ۷ نیز آسیبپذیر هستند.
آسیبپذیری بحرانی در تمامی نسخههای WinRAR
یکی از محبوبترین نرمافزارهای فشردهسازی فایل ویندوز، برنامه WinRAR، در ماه گذشته یک نقص امنیتی بحرانی را برطرف کرده است که میتواند به منظور نفوذ به سیستمهای کاربران، تنها با فریب کاربر به باز کردن یک فایل آرشیو مخرب، مورد سوء استفاده قرار گیرد.
به نقل از وبسایت ZDNet، این آسیبپذیری که سال گذشته توسط پژوهشگران امنیتیCheck Point کشف شده است، تمام نسخههای WinRAR منتشر شده در ۱۹ سال گذشته را تحت تاثیر قرار میدهد.
در وب سایت WinRAR، تیم این برنامه اعلام کرده که WinRAR دارای بیش از ۵۰۰ میلیون کاربر است. هر یک از این کاربران به احتمال زیاد تحت تاثیر این آسیبپذیری قرار گرفتهاند. خوشبختانه یک بروزرسانی برای رفع این نقص در ماه گذشته منتشر شده است.
با توجه به بررسیهای فنی Check Point، آسیبپذیری در کتابخانه UNACEV۲.DLL وجود دارد که در تمامی نسخههای WinRAR موجود است. این کتابخانه مسئول باز کردن آرشیوهای فرمت ACE است. پژوهشگران Check Point روشهایی برای ساخت آرشیوهای ACE مخرب کشف کردهاند که هنگام بازکردن فایل آرشیو، با استفاده از نقصهای کد مورد استفاده در این کتابخانه، فایلهای مخرب را در خارج از مسیر در نظر گرفته شده قرار میدهند. به عنوان مثال، پژوهشگران Check Point توانستند از این آسیبپذیری برای نصب نرمافزارهای مخرب در پوشه راهاندازی ویندوز سوء استفاده کنند تا نرمافزارهای مخرب بعد از راهاندازی مجدد سیستم، اجرا شوند و سیستم را آلوده کنند. تیم Check Point یک ویدئو اثبات مفهومی مرتبط با این فرایند نیز منتشر کرده است.
توسعهدهندگان WinRAR نسخه WinRAR ۵,۷۰ Beta ۱ را در تاریخ ۲۸ ژانویه (۸ بهمن)، برای رفع این آسیبپذیری (دارای شناسههای CVE-۲۰۱۸-۲۰۲۵۰، CVE-۲۰۱۸-۲۰۲۵۱، CVE-۲۰۱۸-۲۰۲۵۲ و CVE-۲۰۱۸-۲۵۳) منتشر کردند.
بدلیل استفاده گسترده و تعداد بالای کاربران WinRAR، این آسیبپذیری مورد هدف عوامل مخرب قرار خواهد گرفت. توصیه میشود تا کاربران از بازکردن فایلهای ACE دریافت شده پرهیز کنند و نسخه WinRAR خود را بروزرسانی کنند.
منابع: