از آسیب پذیری Confluence تا حمله سایبری به مراکز حساس کشور


به این مطلب امتیاز دهید

داستان چیه؟!

به گزارش کاربران نیوزسک دیروز مورخ 29 خرداد ماه 1401 یک حساب کاربری در Twitter با انتشار یک ویدئو مدعی است که به 11 بانک، 13 مرکز پتروشیمی، 4 اپراتور و ارائه دهنده خدمات اینترنتی، 18 سازمان دولتی، 7 مرکز بیمه، 6 دانشگاه و 11 سازمان مختلف دیگر نفوذ کرده است.
این حساب کاربری در Tweet گفته است: «شما که به خوبی می توانید شعارهای دروغین بدهید، شما که امنیت همه را تضمین می کنید. چه کسی امنیت شما را تضمین می کند؟!»

 

در ویدئو بالا مشاهده میکنید هکر با اجرای یک Script به زبان Python به یک آدرس IP دسترسی Interactive Shell حاصل میکند!
بررسی های فنی گروه فنی نیوزسک نشان میدهد آدرس IP هدف متعلق ISP مبین هاست و دامنه شرکت بهین راهکار میباشد !

جالب است بدانید که طبق گزارش سرویس Shodan این آدرس IP تا دیروز روی Port مربوط به سرویس HTTPS یعنی 443 در حال سرویس دهی بود:

اما بررسی های فنی نیوزسک نشان میدهد امروز مورخ 31 خرداد ماه 1401، سرویس دهی این آدرس IP روی Port ذکر شده کاملا قطع شده است !

آسیب پذیری مورد استفاده هکر؟!

اگر تمام سرور هایی که این هکر در چند روز گذشته به آن ها نفوذ کرده است را بررسی کنیم متوجه میشویم یک چیز بین همه آن ها مشترک است، آن هم ابزار Confluence میباشد.

Confluence یک ابزار ویکی و همکاری تیمی شامل ویرایشگر متن حرفه‌ ای تحت وب‌ است که امکان همگام‌ سازی کامل با Microsoft Office و مجموعه وسیعی از افزونه‌ ها جهت اشتراک دانش بین اعزای تیم را فراهم میکند. استفاده از این ابزار می‌ تواند موانع موجود فعلی برای اشتراک اطلاعات بین سازمان‌ ها‌ و تیم‌ ها‌ی مختلف را از بین برده و هماهنگی کامل آن‌ ها را بر روی موضوعات فراهم کند.

متاسفانه چند روز پیش Exploit آسیب پذیری CVE-2022-26134 که مربوط Confluence است، به صورت رسمی منتشر شد، Exploit این آسیب پذیری با تزریق OGNL به کاربر تأیید نشده اجازه می‌ دهد تا Arbitrary Code را روی یک سرور Confluence یا مرکز داده اجرا کند.

اگر به عنوان یک Pentester میخواهید سرور هایی که مسئولیت امنیت آن ها با شما هست را با در نظر گرفتن این آسیب پذیری ارزیابی کنید این خبر خوب را به شما بدهیم که Template مربوط به Detection این آسیب پذیری در ابزار Nuclei قرار گرفته است، کافی است Nuclei را Update کنید.

گروه فنی نیوزسک نیز پیشنهاد میکند اگر شما از ابزار Confluence استفاده میکنید هر چه سریعتر اقدام به به روز رسانی نسخه های ایمن شده این ابزار کنید، البته دقت داشته باشید اگر Confluence را در یک Cluster اجرا میکنید، نمی‌ توانید بدون خرابی به نسخه‌ های ایمن شده ارتقا دهید، البته نگران نباشید، اگر شما این مشکل را دارید کافی است در قسمت مشاوره، یک Ticket برای ما ثبت کنید تا کارشناسان ما شما را جهت بهبود این مشکل راهنمایی کنند.

تموم شد یا بازم هست؟!

حساب کاربری Twitter ذکر شده متاسفانه ویدئو های دیگری نیز منتشر کرده است که در آن به چند سرور مهم داخلی که یکی از آن ها متعلق به سرویس Mail بانک ملی ایران و دیگری مربوط به شرکت مدیران خودرو است نفوذ میکند.

البته شاید در نگاه اول فکر کنید آسیب پذیری مورد استفاده هکر در هر دو ویدئو یکی است ولی باید بگوییم که اینگونه نیست و آسیب پذیری دوم مربوط به سرویس Microsoft Exchange میشود که جهت جلوگیری از سو استفاده توسط مهاجمان از افشای اطلاعات بیشتر از این آسیب پذیری خودداری میکنیم.

هیچکس هم صداش در نیومد؟!

متاسفانه تا کنون نهاد های مرتبط مثل افتا ریاست جمهوری، مرکز ماهر کشور و… هیچ عکس العملی نسبت به این آسیب پذیری و حملات گسترده نشان ندادند، همینطور قربانیان این حملات نیز مثل شرکت بهین راهکار و بانک ملی ایران نیز تا کنون بیانیه ای مربوط به این حملات منتشر نکردند !

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.