اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

انتشار باج افزار Cerber با کمک Apache Struts 2 در سرورها

مهاجمان با Exploit کردن آسیب‌پذیری Struts  که چند ماه پیش Patch شده بود، توانسته‌اند باج‌افزار Cerber را برروی نسخه‌های ویندوز سرور نصب ‌نمایند.

مهاجمان از یک نقص امنیتی که به تازگی در چارچوب برنامه توسعه وب Apache Struts، اصلاح و Patch‌ شده بود استفاده کرده و با Exploit آن امکان نصب بدافزار برروی سرورها را به دست آورده‌اند.

اخیرا موسسه‌ی SANS Internet Storm Center هشدار داده است که برخی حملات با بهره‌گیری از یک نقص ثبت‌شده با کد CVE-2017-5638، سرورهای ویندوزی را تهدید می‌کنند.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


این نقص امنیتی در Parser Jakarta Multipart در Apache Struts 2 یافت شده و به مهاجمان اجازه می‌دهد با استفاده از دسترسی Userهایی که برنامه‌های وب‌سرور توسط آنان اجرا می‌شود، دستورات مورد نظر خود را اجرا نمایند.

مهاجمان تقریبا بلافاصله پس از آنکه آسیب‌پذیری Struts در نسخه‌های 32-3-2 و 1-10-5-2 Patch گردید، اقدام به Exploit‌ نمودن این نقص کرده و فرصت چندانی برای به‌روزرسانی برنامه توسط مدیران سرور باقی نگذاشتند.

طبق گزارش محققان SANS، با اینکه رشته حملات اولیه تنها از طریق بات‌های ساده‌ی Unix و Backdoor پیاده‌سازی می‌شدند، اما اخیرا توانسته‌اند یک برنامه‌ی بدافزاری بسیار مخرب‌ با نام Cerber را منتشر نمایند.

Cerber یک سال پیش آشکار شد و تاکنون نیز گسترش زیادی یافته و در‌حال‌حاضر نقصی در خصوص رمزگذاری آن وجود ندارد که فرآیند بازیابی فایل را امکانپذیر سازد.

لازم به ذکر است که Struts در توسعه برنامه‌های کاربردی در محیط‌های سازمانی کاربرد وسیعی دارد و این نخستین بار نیست که از نقص امنیتی موجود بر روی یک نرم‌افزار سازمانی برای نصب باج‌افزار استفاده شده است. سال گذشته نیز مهاجمان به همین روش از آسیب‌پذیری موجود در Application Server JBoss استفاده نموده بودند.

مدیران سرورهایی که هنوز نسخه‌های پیاده‌سازی‌‌شده Struts را به‌روز‌رسانی نکرده‌اند، باید هر چه سریع‌تر نسبت به این کار اقدام نمایند. همچنین از آنجاییکه این باج‌افزار از ‌دسترسی User تعریف شده برای راه‌اندازی برنامه کاربردی استفاده می‌کند، توصیه می‌شود که این برنامه از طریق Accountهایی اجرا شود که از سطح دسترسی بالا برخوردار نیستند.

علاوه بر موارد ذکر شده، می‌توان به منظور مسدود نمودن راه نفوذ مهاجمان اقدام به پیاده‌سازی Policy‌های Application Whitelisting در سرورهای ویندوزی نمود که دسترسی کاربران معمولی به برنامه‌های کاربردی را محدود می‌سازد.

 

پکیج آموزشی VMware NSX شرکت APK