آشنایی با رخنه امنیتی مهم در نرم‌افزار کانفلوئنس Confluence

• گروهی از نفوذگران فعالانه در حال سواستفاده از یک رخنه در نرم‌ افزار کانفلوئنس Confluence شرکت Atlassian’s هستند.

• هکرها قصد دارند سرورها را با باج‌افزار GandCrab آلوده و تخریب کنند.

برای آشنایی با رخنه نرم افزار کانفلوئنس بهتر از در ابتدا اطلاعات مختصری در مورد چیستی این برنامه کسب کنید.

در ضمن اگر به‌دنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، می‌توانید مقاله‌ی ما را در مورد ضرورت استفاده از یک آنتی‌ویروس مطمئن و معتبر، مطالعه کنید.

Confluence چیست؟

Confluence محصولی است که توسط Atlassian منتشر شد. این همان شرکتی است که نرم‌افزارهای دیگری مانند Jira Software، Jira Align، Trello و BitBucket را، دارد.

یک ابزار همکاری است که برای به اشتراک‌گذاری، ذخیره‌سازی و کار روی پروژه‌های مختلف طراحی و استفاده می‌شود. در واقع به شما این امکان را می‌دهد که پروژه‌های مختلف را ایجاد کنید، یادداشت های جلسه بنویسید، الزامات پروژه را هم‌زمان با سایر اعضای تیم خود در میان بگذارید، همچنین می‌توانید اطلاعات خود را ویرایش و به‌طور هم‌زمان دیگران را هم در جریان این تغییرات قرار بدهید.

سوءاستفاده مهاجمین

نرم‌افزار Confluence یک برنامه تحت وب جاوایی است که محیطی شبیه ویکی‌پدیا برای کارکنان سازمان‌های بزرگ فراهم می‌کند. همچنین توسط هزاران شرکت در سرتاسر دنیا استفاده می‌شود. رخنه امنیتی که به کد CVE-2019-3396 شناخته می‌شود،‌ در قسمت Widget Connector این برنامه قرار دارد که به کاربران اجازه می‌دهد تا محتوای سایت‌هایی نظیر youtube و Twitter را در صفحات وب قرار دهند.

مهاجمین می‌توانند از این اشکال در جهت نصب قالب‌های آلوده و دسترسی راه دور بهره‌برداری کنند. بر اساس توصیه امنیتی شرکت Atlassian، که در ماه مارس منتشر شد، تمام نسخه‌های Confluence Server و   Confluence Data Center تا قبل از ۶.۶.۱۲، ۶.۱۲.۳، ۶.۱۳.۳ و ۶.۱۴ آسیب‌پذیر هستند.

بر اساس گزارشی از شرکت امنیتی Alert Logic، کد سوءاستفاده برای رخنه نرم افزار کانفلوئنس به‌صورت عمومی در تاریخ ۱۰ آوریل پخش شد و هکرها بلافاصله از آن برای حمله سود بردند.

به نقل از آن‌ها:

“در فاصله یک هفته پس از انتشار کد سوءاستفاده ما شاهد اولین دسته از مشتریان آسیب‌دیده بودیم. اولین‌ بار این مشتریان به‌وسیله یک آی‌پی شناخته شده، آلوده و مورد آسیب قرار می‌گرفتند. به نظر می‌آید مهاجمین به‌سرعت و با موفقیت از این فرصت نهایت استفاده را بردند”.

خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتی‌ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به‌روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، آنتی‌ویروس و امنیت اینترنتی شید را پیشنهاد می‌کنیم.

در نسخه امنیت اینترنتی شید شما می‌توانید در برابر ویروس‌ها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداخت‌ها و کارهای بانکی‌تان نباشید. همچنین کنترل برنامه‌های دستگاه‌تان را در دست بگیرید.

اما آنچه که این محصول را برای شما جذاب‌تر می‌کند، امکان دانلود رایگان و استفاده آزمایشی ۳۰ روزه است. این فرصت بی‌نظیر به شما اجازه می‌دهد تا بدون پرداخت هزینه، تمام قابلیت‌های امنیت اینترنتی شید را تجربه کرده و از امکانات پیشرفته آن بهره‌مند شوید.

جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.

فرایند این آسیب‌پذیری

بسته‌های آلوده‌ای که به‌وسیله نفوذگران به سرورهای آسیب‌دیده هدایت شدند حاوی یک اسکریپت powershell هستند که روی سیستم قربانی اجرا می‌شود.

سپس این اسکریپت یک نسخه سفارشی از عامل اجرایی Powershell را به‌نام Empire از یک سایت pastebin دانلود می‌کند.

عامل اجرایی Empire برای اجرای یک فایل اجرایی به‌نام len.exe مورد استفاده قرار می‌گیرد که درون حافظه یک پروسه در حال اجرا، بارگذاری می‌شود.

محققان متوجه شدند که این فایل در ‌واقع GandCrab است. یک باج‌افزار معروف  که در سال گذشته تعداد زیادی از شرکت‌ها را آلوده کرد.  GandCrabاولین بار در ژانویه سال گذشته مطرح شد و یکی از شایع‌ترین باج‌افزارهایی است که در حال حاضر کاربران و تجار را مورد هدف قرار می‌دهد. توسعه‌دهندگان این باج‌افزار در حال فروش آن به گروه‌های خرابکار دیگر هستند.

باج‌افزارهایی نظیر GandCrab معمولاً از طریق فایل‌های آفیس موجود در ایمیل‌های فیشینگ پخش می‌شوند.

گسترش از طریق رخنه‌های امنیتی موجود در سرورها در گذشته نیز، وجود داشت. این روش به‌دلیل اینکه اجازه استفاده راحت از منابع سیستم را می‌دهد، عموما برای اجرای برنامه‌های استخراج ارز دیجیتال استفاده می‌شود.

نظر کارشناسان

کارشناسان اظهار کردند که:

“ممکن است این شیوع مجدد باج‌افزارها به‌شکل کد اجرا شونده، یک روش جدید برای نفوذ باج‌افزارها به‌جای برنامه‌های استخراج ارز دیجیتال باشد.

با در نظر گرفتن اینکه رخنه‌ی CVE-2019-3396  نرم‌افزار Confluence را هدف قرار داد؛ می‌توان نتیجه گرفت که این نرم‌افزار اطلاعات حساس شرکت را درون خود نگهداری می‌کند. همچنین ممکن است که به‌درستی پشتیبان‌گیری انجام ندهد.

احتمالاً مهاجمین برآورد کرده‌اند که از این طریق، شانس باج‌گیری و کسب درآمد بیشتر از برنامه‌های استخراج ارز دیجیتال است.”

در گذشته محققین امنیتی رخنه‌هایی در رمزگذاری فایل GandCrab پیدا کردند که به آن‌ها اجازه ساخت برنامه‌های قفل گشایی را می‌داد. با وجود این نویسندگان این باج افزار بسیار فعال هستند و از اشتباهات خود درس می‌گیرند. در حال حاضر ابزاری مشابه برای خنثی کردن این باج‌افزار وجود ندارد.