سرورهای آسیب‌پذیر vCenter، هدف بدافزار FreakOut

تحقیقات جدید نشان می‌دهد نسخ جدید بدافزار FreakOut قادر به آلوده‌سازی سرورهای آسیب‌پذیر VMware vCenter هستند.

در ادامه این مطلب توسط شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده پیشینه این بدافزار و یافته های جدید محققان در خصوص آن ارائه شده است.

FreakOut که با نام‌های Necro و N3Cr0m0rPh نیز شناخته می‌شود، بدافزاری مبتنی بر Python است که دستگاه‌های با هر یک از بسترهای Windows و Linux را هدف قرار می‌دهد.

اولین بار در زمستان 1399، در گزارش زیر جزییات این بدافزار به‌صورت عمومی منتشر شد:

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

FreakOut اسکریپتی مبهم‌سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روت‌کیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایل‌های مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه می‌دارد.

این بدافزار با بهره‌گیری از چندین آسیب‌پذیری در سیستم‌های عامل و برنامه‌ها و اجرای حملات موسوم به Brute-force در بستر SSH، دستگاه‌ها را به شبکه مخرب (Botnet) خود ملحق می‌کند.

قابلیت‌های پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راه‌اندازی درب‌پشتی بر روی سامانه‌های آلوده، اجرای باج‌افزار، شنود ترافیک شبکه و اجرای ابزارهای استخراج‌کننده نظیر XMRig می‌کند.

بر اساس گزارشی که شرکت سیسکو 13 خرداد آن را منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایش یافته در حال تکامل امکانات انتشار این بدافزار بوده‌اند.

از جمله این تغییرات می‌توان به برقراری ارتباطات متفاوت با سرور فرماندهی (C2) و افزوده شدن قابلیت سوءاستفاده از آسیب‌پذیری‌هایی علاوه بر موارد پیشین اشاره کرد.

دستگاه‌های آلوده بهFreakOut ، دستگاه‌های دیگر را بر اساس نشانی‌هایی که به‌صورت تصادفی استخراج شده‌اند یا نشانی‌هایی که از سوی سرور فرماندهی در بستر IRC ارسال می‌شوند شناسایی می‌کنند.

به ازای هر نشانی IP استخراج شده، دستگاه آلوده تلاش می‌کند تا با بکارگیری یکی از اکسپلویت‌های خود یا اطلاعات اصالت‌سنجی SSH درج شده در کد بدافزار، به آن رخنه کند.

نسخ اولیه FreakOut تنها آسیب‌پذیری‌های زیر را هدف قرار می‌دادند:

• Lifearay – Liferay Portal – Java Unmarshalling via JSONWS RCE
• Laravel RCE (CVE-2021-3129)
• WebLogic RCE (CVE-2020-14882)
• TerraMaster TOS
• Laminas Project laminas-http before 2.14.2, & Zend Framework 3.0.0

اما در نسخ جدید موارد زیر نیز به این فهرست افزوده شده‌اند:

• VestaCP — VestaCP 0.9.8 – ‘v_sftp_licence’ Command Injection
• ZeroShell 3.9.0 — ‘cgi-bin/kerbynet’ Remote Root Command Injection
• SCO Openserver 5.0.7 — ‘outputform’ Command Injection
• Genexis PLATINUM 4410 2.1 P4410-V2-1.28 — Remote Command Execution vulnerability
• OTRS 6.0.1 — Remote Command Execution vulnerability
• VMWare vCenter — Remote Command Execution vulnerability
• Nrdh.php remote code execution

در فهرست بالا، آسیب‌پذیری CVE-2021-21972 در VMware vCenter بیش از سایر موارد جلب توجه می‌کند. این آسیب‌پذیری در اسفند 1399 وصله شد. اما بر اساس آمار سایت‌هایی همچون Shodan و BinaryEdge، هزاران سرور vCenter آسیب‌پذیر همچنان در بستر اینترنت قابل دسترس هستند.

پیش‌تر و در پی انتشار نمونه کد بهره‌جو (Proof-of-Concept) آن نیز گزارش‌هایی مبنی بر پویش انبوه سرورهای آسیب‌پذیر vCenter منتشر شده بود. برخی نهادها هم قبلا در خصوص مورد سوءاستفاده قرار گرفتن CVE-2021-21972 توسط مهاجمان هشدار داده بودند.

در موارد متعددی در جریان حملات هدفمند باج‌افزاری آسیب‌پذیری‌های VMware به استخدام مهاجمان درآمده‌اند.

اعمال فوری وصله‌ها و به‌روزرسانی‌های امنیتی به تمامی راهبران توصیه می‌شود.

مشروح گزارش سیسکو در لینک زیر قابل مطالعه است:

https://blog.talosintelligence.com/2021/06/necro-python-bot-adds-new-tricks.html