از آسیب پذیری Telerik تا افتای ریاست جمهوری

4.3/5 - (6 امتیاز)

داستان از چه قرار است؟

با شیوع ویروس کرونا، تعطیلی کسب و کار های عمومی مردم سراسر دنیا خانه نشین شدند، همین امر باعث شد که مردم به کسب و کار های مجازی روی بی آورند.

در زاویه دیگر جرائم سایبری نیز در دنیا بیشتر شد، هکر های کلاه سیاه اقدام به نفوذ به سایت ها و فروش اطلاعات به دست آمده کردند، در واقع میتوانیم بگوییم در این دو سال نشت های اطلاعات و حملات سایبری در مقایسه با سال های قبل رشد بسیار زیادی داشت، نشت اطلاعات در Twitch و فیسبوک دو حمله بزرگ سایبری در این دو سال بود.

در کشور خودمان نیز به لطف ویروس کرونا این حملات بسیار شدت گرفت، این حملات با فروش اطلاعات 5 میلیون نفر از کاربران رایتل شروع شد و تا هم اکنون حمله سایبری به شرکت هواپیمایی ماهان ادامه دارد…

عمده ترین نشت های اطلاعات در ایراندر این میان گروه هکری ساکن کشور مراکش با نام Morrocan Revolution در سامانه Zone-H بسیاری از سایت های مهم دنیا و مخصوصا کشور ایران را دیفیس کرد، سایت هایی مانند فرمانداری استان ها، صندق توسعه ملی و بسیاری از سایت های دولتی و حکومتی دیگر…

دیفیس وب سایت های دولتی ایران

برای خود ما نیز بسیار جالب بود که چطور این گروه توانسته در مدت زمان کم سایت های زیادی را از کشور های مختلف دیفیس کند؟ آیا پای یک Zero Day در میان است یا یک Exploit دارای شناسه CVE ساده ؟! جالب تر از آن این بود که مراکز مربوطه در ایران مثل افتای ریاست جمهوری یا مرکز ماهر هیچ واکنشی نسبت به این حجم از وب سایت های Deface شده CVE که در سال 2019 منتشر شده است، نشان ندادند !

با بررسی های فنی به عمل آمده از برخی وب سایت های Deface توسط گروه فنی نیوزسک محرز شد که تمام وب سایت های Deface شده دارای نسخه Telerik UI سال 2018 به پایین هستند !

آسیب پذیری Telerik UI

نسخه آسیب پذیر Telerik UI

این مورد توسط ما بیشتر بررسی شد و متوجه شدیم نسخه های Telerik UI سال 2018 به پایین آلوده به آسیب پذیری Remote Code Execution هستند !

RCE Telerik UI

این آسیب پذیری با شناسه CVE-2019-18935 شناخته میشود که Exploit آن نیز به صورت عمومی در Github منتشر شده است:

اکسپلویت آسیب پذیری Telerik UI

هدف نیوزسک نیز از انتشار این پست در ابتدا معرفی این آسیب پذیری و اطلاع رسانی به مدیران IT در سطح کشور است تا هر چه زودتر اقدام به بروز رسانی نسخه Telerik UI خود کنند.

معرفی آسیب پذیری CVE-2019-18935:

ما در مقاله ای جدا در نیوزسک راجب Telerik UI صحبت کردیم که پیشنهاد میشود در ابتدا آن را بخوانید.

Telerik UI for ASP.NET AJAX مجموعه ای پرکاربرد از اجزای رابط کاربری برای برنامه های کاربردی وب است. اشیاء JSON را به شکلی نامطمئن از سریال خارج می کند که منجر به اجرای دستور از راه دور در میزبان اصلی نرم افزار می شود.

Roulette DerpCon talk.NET (اسلایدها) که جزئیات بیشتری در مورد بهره برداری از سریال سازی ناامن ارائه می دهد، آن را در مورد این Exploit اعمال می کند و نکات و ترفندهایی را برای دریافت پوسته در برنامه های وب ASP.NET ارائه می دهد.

چه خطرهایی مارا تهدید میکند؟

همانطور که در بالا کفته شد با استفاده از این آسیب پذیری شخص نفوذگر میتواند از راه دستورات سیستم عاملی دلخواه خود را روی وب سرور شما ارسال کند، این امر ممکن است با یک یا چند عملیات که در زیر آمده است همراه باشد:

  • دامپ کامل پایگاه داده وب سایت.
  • حذف محتویات داخل سایت و اعمال دیفیس.
  • دسترسی به دیگر وب سایت های روی سرور ( در شرایط معمول ).
  • دسترسی کامل به وب سایت و سرور ( در شرایط معمول ).

ایمن سازی این آسیب پذیری به چه صورت است؟

برای رفع این آسیب پذیری تنها کافی است که نسخه Telerik UI وب سرور خود را به آخرین نسخه بروزرسانی کنید.

توجه داشته باشید که امنیت وب سایت شما در ابتدا با دو عمل خلاصه میشود، اول گرفتن نسخه پشتیبان و دوم به روز رسانی نسخه های نرم افزاری … .

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *