سوءاستفاده تبهکاران سایبری از آسیب‌پذیری‌های قدیمی

محققان امنیتی شرکت کوالیس (.Qualys, Inc) حملات بزرگ باج‌افزاری را در پنج سال گذشته به طور کامل مطالعه کرده و مشخص کرده‌اند که در این حملات حدوداً 110 ضعف امنیتی (CVE) مورد سوءاستفاده قرار گرفته است. آن‌ها دریافتند که برای اکثر این 110 ضعف امنیتی، توصیه‌نامه یا وصله‌ای از طرف شرکت مربوطه ارائه شده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از گزارش کوالیس ارائه شده است.

تحلیل بیشتر محققان این شرکت نشان می‌دهد که علاوه بر بهره‌جویی از ضعف‌های امنیتی معروف و شناخته شده، مهاجمان از برخی آسیب‌پذیری‌های بسیار قدیمی نیز برای توزیع باج‌افزار سوءاستفاده می‌کنند. ضعف‌های امنیتی قدیمی، خصوصاً در سیستم‌های متصل به اینترنت، مورد علاقه مهاجمان هستند. ازآنجایی که بسیاری از سازمان‌ها اعمال به روز‌رسانی‌های امنیتی را مورد توجه قرار نمی‌دهند، مهاجمان همچنان در حال سوءاستفاده از آن‌ها می‌باشند.

محققان کوالیس فهرستی از پنج آسیب‌پذیری‌ را که بیشتر از سایر ضعف‌های امنیتی در حملات باج‌افزاری سال‌های اخیر مورد سوءاستفاده قرار گرفته‌، ارائه کرده‌اند. این پنج ضعف امنیتی علی‌رغم قدیمی بودن همچنان بسیاری از سازمان‌های مختلف را به علت بی‌توجهی در اعمال به‌روزرسانی‌های امنیتی در سراسر جهان در معرض خطر قرار داده است. جدول زیر پنج CVE را که در حملات باج‌افزارهای معروف بیشترین بهره‌جویی از آن‌ها صورت گرفته، نمایش می‌دهد.

براساس گزارشی که این شرکت ارائه داده، برخی از این ضعف‌های امنیتی تقریباً یک دهه است که شناخته شده‌اند و وصله‌های آن‌ها نیز توسط شرکت‌های مرتبط در دسترس قرار گرفته است. اما از آنجا که بسیاری از سازمان‌ها هنوز به‌روز‌رسانی‌های امنیتی موجود را اعمال نکرده‌اند، همچنان در برابر حملات باج‌افزاری آسیب‌پذیر هستند.

قدیمی‌ترین آسیب‌پذیری که توسط این محققان مورد بررسی قرار گرفته دارای شناسه CVE-2012-1723 است؛ این ضعف‌امنیتی که تاریخ شناسایی آن به سال 2012 برمی‌گردد، Java Runtime Environment – به اختصار JRE را متاثر می‌کند. سوءاستفاده از این آسیب‌پذیری منجر به “دسترسی از راه دور” و دانلود و نصب فایل‌های بدافزاری مهاجم بر روی سیستم قربانی می‌شود.

به گفته محققان، از آسیب‌پذیری مذکور معمولاً برای توزیع باج‌افزار Urausy سوءاستفاده می‌شود. این باج‌افزار علی‌رغم عملکرد ساده خود موفق به آلوده‌سازی تعداد قابل توجهی از سازمان‌ها به دلیل عدم استفاده از وصله امنیتی مربوطه که حدود یک دهه از انتشار آن می‌گذرد، شده است.

CVE-2013-0431 و CVE-2013-1493 دو آسیب‌پذیری رایج دیگری هستند که اصلاحیه آنها از سال 2013 در دسترس قرار گرفته است. CVE-2013-0431 یک آسیب‌پذیری در JRE بوده که بارها توسط باج‌افزار Reveton مورد سوء‌استفاده قرار گرفته است.

 CVE-2013-1493 نیز یک ضعف امنیتی در Oracle Java است که باج‌افزار Exxroute آن را مورد هدف قرار می‌دهد. آسیب‌پذیری CVE-2013-1493 برای اولین بار در فوریه 2013 به عنوان یک ضعف امنیتی از نوع “روز صفر” کشف شد. سپس شرکت اورکل (Oracle Corporation) توصیه‌نامه‌ای و در ادامه اصلاحیه‌ای برای آن منتشر کرد.

CVE-2018-12808 نیز آسیب‌پذیری دیگری است که در گزارش کوالیس به آن اشاره شده است. سوءاستفاده از این آسیب‌پذیری سه ساله که Adobe Acrobat از آن متاثر می‌شود، تبهکاران سایبری را قادر به انتشار باج‌افزار از طریق ایمیل‌های فیشینگ و فایل‌های مخرب PDF کرده است. باج‌افزار Ryuk و باج‌افزار Conti که آن را جایگزین یا نسخه جدید Ryuk می‌دانند نیز از این روش در حملات خود استفاده می‌کنند. ضعف امنیتی مذکور از نوع “اجرای کد دلخواه” (Arbitrary Code Execution) بوده و شدت آن “حیاتی” (Critical) گزارش شده است. جزییات بیشتر در نشانی زیر قابل مطالعه است.

https://helpx.adobe.com/security/products/acrobat/apsb18-29.html

جدیدترین آسیب‌پذیری در فهرست مذکور CVE-2019-1458 است که اشکالی از نوع “ترفیع امتیازی” (Privilege Escalation) در بخش Win 32k سیستم‌عامل Windows است و در دسامبر 2019 جزییات آن توسط شرکت مایکروسافت (.Microsoft Corp) در نشانی زیر منتشر شد. بهره‌جویی از آسیب‌پذیری مذکور، مهاجم را قادر به ارتقای دسترسی خود در سطح هسته (Kernel) بر روی دستگاه می‌کند.

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-1458

آسیب‌پذیری مذکور توسط گروه باج‌افزاری NetWalker مورد سوءاستفاده قرار می‌گیرد.

مهاجمان سایبری به طور فعال در حال بررسی و شناسایی آسیب‌پذیری‌هایی هستند که امکان اجرا و استقرار کدهای باج‌افزاری و دیگر تهدیدات سایبری را برای آن‌ها فراهم می‌کند. از این‌رو تا زمانی که به‌روزرسانی‌ها و وصله‌های موجود اعمال نشوند، تبهکاران سایبری قادر به سوءاستفاده از آن‌ها و ادامه حملات موفق خود هستند.

گزارش محققان حاکی از آن است که میانگین زمان صرف شده جهت رفع آسیب‌پذیری‌های مهم از 197 روز در آوریل 2021 به 205 روز در می 2021 افزایش یافته است. امسال نیز محققان کوالیس در گزارش خود اعلام نموده‌اند که به طور متوسط 194 روز از زمانی که یک ضعف امنیتی در سیستم‌های سازمان کشف می‌شود تا زمانی که همه موارد وصله می‌شوند زمان می‌برد.

سازمان‌ها باید فوراً این آسیب‌پذیری‌ها را اولویت‌بندی و وصله‌های لازم را اعلام کنند، به ویژه در سیستم‌ها، پایگاه‌داده‌ها و زیرساخت‌های حیاتی متصل به اینترنت که اولین هدف مهاجمان هستند. تیم‌های امنیتی باید همواره زمانی را برای مدیریت آسیب‌پذیری و اعمال به‌روزرسانی‌های امنیتی مهم اختصاص دهند، به ویژه اگر مشخص شود که ضعف‌های مذکور توسط تبهکاران سایبری مورد سوءاستفاده قرار گرفته است. مدیریت آسیب‌پذیری ترکیبی از ارزیابی ضعف‌های امنیتی، اولویت‌بندی آن‌ها و اعمال وصله‌های مربوطه است.

مشروح گزارش کوالیس در لینک زیر قابل مطالعه است:

https://blog.qualys.com/product-tech/2021/10/05/assess-risk-ransomware-attacks-qualys-research