اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری سیستم‌های لینوکسی در برابر SambaCry

مهاجمان ناشناخته‌ای از آسیب‌پذیری‌هایی که در نسخه‌های Samba وجود دارد برای نفوذ به سیستم‌های Linux و ایجاد آسیب‌پذیری در آن‌ها استفاده می‌کنند.

طبق اطلاعات منتشرشده، فعالیت‌های این گروه پنج روز پس از آن آغاز شد که تیم توسعه‌دهنده‌ی Samba از Patch کردن آسیب‌پذیری‌ Samba با کد CVE-2017-7494 خبر داد که در تمام نسخه‌های عرضه‌شده از سال 2010 وجود داشته ‌است.

از آنجاییکه این آسیب‌پذیری از طریق پروتکل SMB قابل Exploit بوده و به دلیل تقارب زمانی آن با شیوع باج‌افزار WannaCry (که در خبر‌های قبلی سایت به آن پرداخته شد)، برخی از محققین این Bug را SambaCry یا EternalRed نامیده‌اند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

از دیدگاه فنی می‌توان گفت که Exploit موفق SambaCry به مهاجم این امکان را می‌دهد تا با باز نمودن راهی برروی سرورهای Samba، اقدام به آپلود کد مخرب و سپس اجرای آن نمایند. پس از آن بسته به مهارت مهاجم ممکن است تمام سرور به سادگی تحت نفوذ درآید که در رابطه با SambaCry این موضوع به وقوع پیوسته است. این گروه از مهاجمان ابتدا در30‌ام می در سطحی گسترده اقدام به Scan‌ نمودن این نقص امنیتی در سرورهای اشتراک‌گذاری فایل Samba نمودند.

در مرحله‌ی بعد مهاجمان با یافتن آسیب‌پذیری در نسخه‌های نصب‌‌شده‌ی Samba، هشت فایل را برروی سیستم قربانی بارگذاری نموده تا توانایی خود را در آپلود و اجرا نمودن کدهای مورد نظر آزمایش کنند.

پس از اطمینان از موفقیت در اجرای این مرحله، دو فایل مخرب بارگذاری می‌گردد که اولین مورد آن یک Remote Shell با دسترسی Root فراهم می‌کند و مورد دوم نسخه‌ی اصلاح‌شده از یک ابزار پرکاربرد با نام Cpuminer می‌باشد که برای درخواست پول به صورت رمزنگاری‌شده مورد استفاده قرار می‌گیرد.

مهاجمان Remote Shell را برای نصب نسخه‌ی اصلاح‌شده‌ی Cpuminer به‌‌‌کار‌‌می‌گیرند که برخی از محققان به آن نام EternalMiner را نسبت داده‌اند.

لازم به ذکر است که مهاجمان در Monero دست‌کم به 5400 دلار دست یافته‌اند.   ‌

متخصصان Kaspersky Labs از ابتدای شکل‌گیری این حملات در حال تحقیق برروی آن بوده‌اند. به اعتقاد آنها مهاجمان پشت این ماجرا با نفوذ به سیستم‌های Linux در جستجوی پول‌های رمزگذاری شده‌ی Monero بوده‌اند.

ردیابی مهاجمان این حملات کار دشواری نبوده است زیرا آدرس مربوطه به Monero Wallet آن‌ها به صورت Hard-Code شده در کد منبع EternalMiner وجود داشته است. بنا بر آخرین گزارش‌ها تا کنون مهاجمان مبلغی در حدود5.400 دلار را کسب کرده‌اند.

طبق تحقیقات امنیتی Rapid7، زمانی که آسیب‌پذیری SambaCry در تاریخ 25 می علنی شد، حدود 104.000 سیستم متصل به اینترنت وجود داشته‌است که نسخه‌های آسیب‌پذیر نرم‌افزار Samba را اجرا می‌کرده‌اند. در‌حل‌حاضر با توجه به Patch شدن بسیاری از این سیستم‌ها از سوی مدیران شبکه‌ها، این تعداد کاهش یافته‌است؛ با این حال هنوز بسیاری از سرورهای اشتراک‌گذاری فایل به صورت آنلاین آسیب‌پذیر باقی‌مانده‌اند.