- گروهی از نفوذگران فعالانه در حال سواستفاده از یک رخنه در نرم افزار کانفلوئنس Confluence شرکت Atlassian’s هستند.
- هکرها قصد دارند سرورها را با باجافزار GandCrab آلوده و تخریب کنند.
برای آشنایی با رخنه نرم افزار کانفلوئنس بهتر از در ابتدا اطلاعات مختصری در مورد چیستی این برنامه کسب کنید.
در ضمن اگر بهدنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، میتوانید مقالهی ما را در مورد ضرورت استفاده از یک آنتیویروس مطمئن و معتبر، مطالعه کنید.
Confluence چیست؟
Confluence محصولی است که توسط Atlassian منتشر شد. این همان شرکتی است که نرمافزارهای دیگری مانند Jira Software، Jira Align، Trello و BitBucket را، دارد.
یک ابزار همکاری است که برای به اشتراکگذاری، ذخیرهسازی و کار روی پروژههای مختلف طراحی و استفاده میشود. در واقع به شما این امکان را میدهد که پروژههای مختلف را ایجاد کنید، یادداشت های جلسه بنویسید، الزامات پروژه را همزمان با سایر اعضای تیم خود در میان بگذارید، همچنین میتوانید اطلاعات خود را ویرایش و بهطور همزمان دیگران را هم در جریان این تغییرات قرار بدهید.
سوءاستفاده مهاجمین
نرمافزار Confluence یک برنامه تحت وب جاوایی است که محیطی شبیه ویکیپدیا برای کارکنان سازمانهای بزرگ فراهم میکند. همچنین توسط هزاران شرکت در سرتاسر دنیا استفاده میشود. رخنه امنیتی که به کد CVE-2019-3396 شناخته میشود، در قسمت Widget Connector این برنامه قرار دارد که به کاربران اجازه میدهد تا محتوای سایتهایی نظیر youtube و Twitter را در صفحات وب قرار دهند.
مهاجمین میتوانند از این اشکال در جهت نصب قالبهای آلوده و دسترسی راه دور بهرهبرداری کنند. بر اساس توصیه امنیتی شرکت Atlassian، که در ماه مارس منتشر شد، تمام نسخههای Confluence Server و Confluence Data Center تا قبل از ۶.۶.۱۲، ۶.۱۲.۳، ۶.۱۳.۳ و ۶.۱۴ آسیبپذیر هستند.
بر اساس گزارشی از شرکت امنیتی Alert Logic، کد سوءاستفاده برای رخنه نرم افزار کانفلوئنس بهصورت عمومی در تاریخ ۱۰ آوریل پخش شد و هکرها بلافاصله از آن برای حمله سود بردند.
به نقل از آنها:
“در فاصله یک هفته پس از انتشار کد سوءاستفاده ما شاهد اولین دسته از مشتریان آسیبدیده بودیم. اولین بار این مشتریان بهوسیله یک آیپی شناخته شده، آلوده و مورد آسیب قرار میگرفتند. به نظر میآید مهاجمین بهسرعت و با موفقیت از این فرصت نهایت استفاده را بردند”.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
فرایند این آسیبپذیری
بستههای آلودهای که بهوسیله نفوذگران به سرورهای آسیبدیده هدایت شدند حاوی یک اسکریپت powershell هستند که روی سیستم قربانی اجرا میشود.
سپس این اسکریپت یک نسخه سفارشی از عامل اجرایی Powershell را بهنام Empire از یک سایت pastebin دانلود میکند.
عامل اجرایی Empire برای اجرای یک فایل اجرایی بهنام len.exe مورد استفاده قرار میگیرد که درون حافظه یک پروسه در حال اجرا، بارگذاری میشود.
محققان متوجه شدند که این فایل در واقع GandCrab است. یک باجافزار معروف که در سال گذشته تعداد زیادی از شرکتها را آلوده کرد. GandCrabاولین بار در ژانویه سال گذشته مطرح شد و یکی از شایعترین باجافزارهایی است که در حال حاضر کاربران و تجار را مورد هدف قرار میدهد. توسعهدهندگان این باجافزار در حال فروش آن به گروههای خرابکار دیگر هستند.
باجافزارهایی نظیر GandCrab معمولاً از طریق فایلهای آفیس موجود در ایمیلهای فیشینگ پخش میشوند.
گسترش از طریق رخنههای امنیتی موجود در سرورها در گذشته نیز، وجود داشت. این روش بهدلیل اینکه اجازه استفاده راحت از منابع سیستم را میدهد، عموما برای اجرای برنامههای استخراج ارز دیجیتال استفاده میشود.
نظر کارشناسان
کارشناسان اظهار کردند که:
“ممکن است این شیوع مجدد باجافزارها بهشکل کد اجرا شونده، یک روش جدید برای نفوذ باجافزارها بهجای برنامههای استخراج ارز دیجیتال باشد.
با در نظر گرفتن اینکه رخنهی CVE-2019-3396 نرمافزار Confluence را هدف قرار داد؛ میتوان نتیجه گرفت که این نرمافزار اطلاعات حساس شرکت را درون خود نگهداری میکند. همچنین ممکن است که بهدرستی پشتیبانگیری انجام ندهد.
احتمالاً مهاجمین برآورد کردهاند که از این طریق، شانس باجگیری و کسب درآمد بیشتر از برنامههای استخراج ارز دیجیتال است.”
در گذشته محققین امنیتی رخنههایی در رمزگذاری فایل GandCrab پیدا کردند که به آنها اجازه ساخت برنامههای قفل گشایی را میداد. با وجود این نویسندگان این باج افزار بسیار فعال هستند و از اشتباهات خود درس میگیرند. در حال حاضر ابزاری مشابه برای خنثی کردن این باجافزار وجود ندارد.