• صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • آسیب‌پذیری بحرانی RCE در نرم‌افزار Veeam اکنون در حملات باج‌افزار Frag مورد استفاده قرار می‌گیرد.

آسیب‌پذیری بحرانی RCE در نرم‌افزار Veeam اکنون در حملات باج‌افزار Frag مورد استفاده قرار می‌گیرد.

آسیب‌پذیری بحرانی RCE در نرم‌افزار Veeam اکنون در حملات باج‌افزار Frag مورد استفاده قرار می‌گیرد.

پس از اینکه از یک آسیب‌پذیری امنیتی بحرانی در Veeam Backup & Replication (VBR) در حملات باج‌افزار Akira و Fog استفاده شد، اخیراً از این نقص برای پیاده‌سازی باج‌افزار Frag نیز بهره‌برداری شده است.

Florian Hauser، محقق امنیتی از شرکت Code White، یک ضعف امنیتی در نرم‌افزار Veeam Backup & Replication (VBR) شناسایی کرده که با کد CVE-2024-40711 ثبت شده است. این ضعف به دلیل deserialization داده‌های غیرقابل اعتماد است. Deserialization فرآیندی است که طی آن داده‌ها از حالت ذخیره‌شده به یک ساختار قابل استفاده در برنامه تبدیل می‌شوند. در این حالت، اگر داده‌ها قابل اعتماد نباشند، مهاجمان می‌توانند از این نقص برای اجرای کد مخرب به صورت از راه دور بر روی سرورهای Veeam VBR سوءاستفاده کنند، بدون اینکه نیاز به احراز هویت داشته باشند.

آزمایشگاه watchTowr، که یک تحلیل فنی درباره‌ی آسیب‌پذیری CVE-2024-40711 را در تاریخ ۹ سپتامبر منتشر کرده بود، انتشار کد نمونه‌ای برای اثبات مفهوم (proof-of-concept exploit) را تا ۱۵ سپتامبر به تعویق انداخت تا به مدیران سیستم فرصت کافی داده شود تا به‌روزرسانی‌های امنیتی که Veeam در ۴ سپتامبر ارائه کرده بود را اعمال کنند.

شرکت Code White تصمیم گرفت جزئیات بیشتری از این آسیب‌پذیری را بلافاصله منتشر نکند، زیرا این نگرانی وجود داشت که گروه‌های باج‌افزار بلافاصله از این ضعف برای انجام حملات مخرب استفاده کنند.

این تأخیرها به این دلیل انجام شد که نرم‌افزار VBR شرکت Veeam هدف محبوبی برای عاملان تهدید است که به دنبال دسترسی سریع به داده‌های پشتیبان یک شرکت هستند، زیرا بسیاری از کسب‌وکارها از این نرم‌افزار به عنوان یک راهکار بازیابی فاجعه و حفاظت از داده استفاده می‌کنند تا ماشین‌های مجازی، فیزیکی و ابری را پشتیبان‌گیری، بازیابی و تکرار کنند.

با این حال، تیم واکنش به رخدادهای Sophos X-Ops دریافت که این اقدام تأثیر بسیار کمی در تأخیر انداختن حملات باج‌افزارهای Akira و Fog داشته است. مهاجمان از این آسیب‌پذیری اجرای کد از راه دور (RCE) همراه با اعتبارنامه‌های سرقت‌شده‌ی دروازه VPN سوءاستفاده کردند تا حساب‌های مخرب به گروه‌های Administrators و Remote Desktop Users روی سرورهایی که به‌روزرسانی نشده و به اینترنت متصل بودند اضافه کنند.

تیم امنیتی Sophos متوجه شد گروهی از مهاجمان که با کد شناسایی STAC 5881 ردیابی می‌شوند، از آسیب‌پذیری CVE-2024-40711 برای انجام حملات به شبکه‌های هدف استفاده کرده‌اند. این حملات در نهایت منجر به نصب باج‌افزار Frag در شبکه‌های آسیب‌دیده شده است.

Sean Gallagher از تیم Sophos X-Ops توضیح می‌دهد که تحلیلگران MDR (که به تیم‌های پاسخ‌دهی به تهدیدات گفته می‌شود) در یک حمله اخیر، دوباره شیوه‌ها و تاکتیک‌های مربوط به گروه تهدیدی STAC 5881 را شناسایی کردند، اما این بار باج‌افزار جدیدی به نام Frag که قبلاً مستند نشده بود را در شبکه‌های آسیب‌دیده مشاهده کردند.

در حمله‌ای که به آن اشاره شده، مهاجم همانند حملات قبلی از دستگاه VPN که دسترسی آن به خطر افتاده بود استفاده کرده، از آسیب‌پذیری نرم‌افزار Veeam بهره‌برداری کرده و حساب کاربری جدیدی به نام point ایجاد کرده است. با این حال، در این حادثه خاص، علاوه بر حساب point، حساب دیگری به نام point2 نیز ایجاد شده است.

گروه باج‌افزار Frag از تکنیکی به نام LOLBins استفاده می‌کند. این تکنیک شامل بهره‌برداری از برنامه‌ها یا ابزارهای قانونی است که قبلاً روی سیستم‌های آسیب‌دیده نصب شده‌اند، به طوری که هکرها از این ابزارها برای انجام حملات خود استفاده می‌کنند. چون این برنامه‌ها معمولاً به طور قانونی روی سیستم‌ها وجود دارند، شناسایی فعالیت‌های مخرب این گروه برای تیم‌های امنیتی دشوار می‌شود.

گروه‌های مهاجم Frag مشابه گروه‌های باج‌افزار Akira و Fog عمل می‌کنند. این گروه‌ها معمولاً در حملات خود به دنبال آسیب‌پذیری‌هایی هستند که هنوز وصله (پچ) نشده‌اند یا پیکربندی‌های نادرستی در سیستم‌های پشتیبان‌گیری و ذخیره‌سازی وجود دارند که می‌توانند از آن‌ها سوءاستفاده کنند.

در مارس ۲۰۲۳، شرکت Veeam یک آسیب‌پذیری امنیتی مهم در نرم‌افزار VBR را اصلاح کرد که می‌توانست به مهاجمان امکان نفوذ به سیستم‌های پشتیبان‌گیری را بدهد. چند ماه بعد، این آسیب‌پذیری مورد سوءاستفاده قرار گرفت و در حملات باج‌افزار Cuba علیه سازمان‌های حساس و حیاتی در ایالات متحده مورد استفاده قرار گرفت. این حملات به گروه تهدید FIN7 نسبت داده می‌شود که هدف اصلی آن‌ها منافع مالی است.

شرکت Veeam اعلام کرده که محصولات آن بیش از ۵۵۰,۰۰۰ مشتری در سراسر دنیا دارند و تقریباً ۷۴ درصد از شرکت‌های فهرست Global 2,000 (که شامل ۲,۰۰۰ شرکت بزرگ و معتبر جهان است) از این محصولات استفاده می‌کنند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *