سوءاستفاده از آسیب‌پذیری SambaCry

به گزارش شرکت مهندسی شبکه گستر، حدود دو هفته قبل، گروه Samba اقدام به عرضه نسخه‌های جدیدی از نرم‌افزار Samba به‌منظور ترمیم یک آسیب‌پذیری به حملات اجرای از راه دور کد (Remote Code Execution) کرد. در آن زمان اعلام شد تمامی نسخه‌های نرم‌افزار Samba که طی هفت سال گذشته ارائه شده‌اند حاوی آسیب‌پذیری مذکور بوده و در برابر این نوع حملات آسیب‌پذیر هستند.

Samba یک نرم‌افزار “متن آزاد” یا Open Source است که به سیستم‌های مبتنی بر Unix نظیر Linux و Solaris امکانات به اشتراک‌گذاری فایل و چاپگر را با دستگاه‌های تحت سیستم عامل Windows می‌دهد. ضمن اینکه امکان یکپارچه‌سازی این دستگاه‌ها را نیز با Active Directory فراهم می‌آورد.

ضعف مذکور مربوط به بخش شبکه در نرم‌افزار Samba است که عملکردی مشابه با پودمان SMB در سیستم عامل Windows دارد. موضوعی که با توجه به مصادف شدن عرضه اصلاحیه آن با انتشار گسترده باج‌افزار WannaCry – که از آسیب پذیری موجود در SMB بهره‌جویی می‌کرد – سبب معروف شدن آن به SambaCry شد.

در زمان ترمیم آسیب‌پذیری یکی از منابع اعلام کرد که نزدیک به 485 هزار دستگاه متصل به اینترنت حاوی آسیب‌پذیری مذکور را شناسایی کرده است. برخی کارشناسان امنیتی نیز پیش‌بینی کردند که بدافزاری مشابه WannaCry این سیستم‌ها را هدف قرار خواهد داد.

روز جمعه، 19 خرداد ماه، محققان شرکت Kaspersky Lab از کشف بدافزاری خبر دادند که با بهره‌جویی از آسیب‌پذیری SambaCry دستگاه‌های با سیستم عامل Linux را آلوده کرده و یک نرم‌افزار استخراج‌کننده پول دیجیتال Monero را بر روی آنها نصب می‌کند.

یک محقق امنیتی دیگر نیز مستقلاً کارزار مشابه‌ای با نام EternalMiner را شناسایی کرده است.

به گزارش شرکت مهندسی شبکه گستر، در پول‌های دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال – در اینجا Monero – نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد.

با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. اما بدافزارهای موسوم به Cryptocurrency Miner با بهره‌گیری از توان پردازشی دستگاه‌های آلوده به خود از آنها به‌منظور سودرسانی به نویسنده یا نویسندگان بدافزار سوءاستفاده می‌کنند.

به گفته این محققان افراد پشت پرده حمله اخیر، تنها یک هفته پس از انتشار عمومی جزییات آسیب‌پذیری SambaCry با بهره‌جویی از آن اقدام به توزیع و نصب بدافزار مذکور کرده‌اند و تا روز جمعه، 98 XMR – معادل 5،380 دلار – از راه استخراج منفعت کسب کرده‌اند.

پیش‌تر نیز شرکت McAfee، از انتشار بدافزاری با عنوان Adylkuzz خبر داده بود که در بستر سیستم عامل Windows اقدام به استخراج Monero می‌کند.

به کاربران نرم‌افزار Samba توصیه می‌شود از نصب بودن یکی از نسخه‌های 4.6.4/4.5.10/4.4.14 اطمینان حاصل کنند.