محققان امنیتی شرکت کوالیس (.Qualys, Inc) حملات بزرگ باجافزاری را در پنج سال گذشته به طور کامل مطالعه کرده و مشخص کردهاند که در این حملات حدوداً 110 ضعف امنیتی (CVE) مورد سوءاستفاده قرار گرفته است. آنها دریافتند که برای اکثر این 110 ضعف امنیتی، توصیهنامه یا وصلهای از طرف شرکت مربوطه ارائه شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیدهای از گزارش کوالیس ارائه شده است.
تحلیل بیشتر محققان این شرکت نشان میدهد که علاوه بر بهرهجویی از ضعفهای امنیتی معروف و شناخته شده، مهاجمان از برخی آسیبپذیریهای بسیار قدیمی نیز برای توزیع باجافزار سوءاستفاده میکنند. ضعفهای امنیتی قدیمی، خصوصاً در سیستمهای متصل به اینترنت، مورد علاقه مهاجمان هستند. ازآنجایی که بسیاری از سازمانها اعمال به روزرسانیهای امنیتی را مورد توجه قرار نمیدهند، مهاجمان همچنان در حال سوءاستفاده از آنها میباشند.
محققان کوالیس فهرستی از پنج آسیبپذیری را که بیشتر از سایر ضعفهای امنیتی در حملات باجافزاری سالهای اخیر مورد سوءاستفاده قرار گرفته، ارائه کردهاند. این پنج ضعف امنیتی علیرغم قدیمی بودن همچنان بسیاری از سازمانهای مختلف را به علت بیتوجهی در اعمال بهروزرسانیهای امنیتی در سراسر جهان در معرض خطر قرار داده است. جدول زیر پنج CVE را که در حملات باجافزارهای معروف بیشترین بهرهجویی از آنها صورت گرفته، نمایش میدهد.
براساس گزارشی که این شرکت ارائه داده، برخی از این ضعفهای امنیتی تقریباً یک دهه است که شناخته شدهاند و وصلههای آنها نیز توسط شرکتهای مرتبط در دسترس قرار گرفته است. اما از آنجا که بسیاری از سازمانها هنوز بهروزرسانیهای امنیتی موجود را اعمال نکردهاند، همچنان در برابر حملات باجافزاری آسیبپذیر هستند.
قدیمیترین آسیبپذیری که توسط این محققان مورد بررسی قرار گرفته دارای شناسه CVE-2012-1723 است؛ این ضعفامنیتی که تاریخ شناسایی آن به سال 2012 برمیگردد، Java Runtime Environment – به اختصار JRE را متاثر میکند. سوءاستفاده از این آسیبپذیری منجر به “دسترسی از راه دور” و دانلود و نصب فایلهای بدافزاری مهاجم بر روی سیستم قربانی میشود.
به گفته محققان، از آسیبپذیری مذکور معمولاً برای توزیع باجافزار Urausy سوءاستفاده میشود. این باجافزار علیرغم عملکرد ساده خود موفق به آلودهسازی تعداد قابل توجهی از سازمانها به دلیل عدم استفاده از وصله امنیتی مربوطه که حدود یک دهه از انتشار آن میگذرد، شده است.
CVE-2013-0431 و CVE-2013-1493 دو آسیبپذیری رایج دیگری هستند که اصلاحیه آنها از سال 2013 در دسترس قرار گرفته است. CVE-2013-0431 یک آسیبپذیری در JRE بوده که بارها توسط باجافزار Reveton مورد سوءاستفاده قرار گرفته است.
CVE-2013-1493 نیز یک ضعف امنیتی در Oracle Java است که باجافزار Exxroute آن را مورد هدف قرار میدهد. آسیبپذیری CVE-2013-1493 برای اولین بار در فوریه 2013 به عنوان یک ضعف امنیتی از نوع “روز صفر” کشف شد. سپس شرکت اورکل (Oracle Corporation) توصیهنامهای و در ادامه اصلاحیهای برای آن منتشر کرد.
CVE-2018-12808 نیز آسیبپذیری دیگری است که در گزارش کوالیس به آن اشاره شده است. سوءاستفاده از این آسیبپذیری سه ساله که Adobe Acrobat از آن متاثر میشود، تبهکاران سایبری را قادر به انتشار باجافزار از طریق ایمیلهای فیشینگ و فایلهای مخرب PDF کرده است. باجافزار Ryuk و باجافزار Conti که آن را جایگزین یا نسخه جدید Ryuk میدانند نیز از این روش در حملات خود استفاده میکنند. ضعف امنیتی مذکور از نوع “اجرای کد دلخواه” (Arbitrary Code Execution) بوده و شدت آن “حیاتی” (Critical) گزارش شده است. جزییات بیشتر در نشانی زیر قابل مطالعه است.
https://helpx.adobe.com/security/products/acrobat/apsb18-29.html
جدیدترین آسیبپذیری در فهرست مذکور CVE-2019-1458 است که اشکالی از نوع “ترفیع امتیازی” (Privilege Escalation) در بخش Win 32k سیستمعامل Windows است و در دسامبر 2019 جزییات آن توسط شرکت مایکروسافت (.Microsoft Corp) در نشانی زیر منتشر شد. بهرهجویی از آسیبپذیری مذکور، مهاجم را قادر به ارتقای دسترسی خود در سطح هسته (Kernel) بر روی دستگاه میکند.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-1458
آسیبپذیری مذکور توسط گروه باجافزاری NetWalker مورد سوءاستفاده قرار میگیرد.
مهاجمان سایبری به طور فعال در حال بررسی و شناسایی آسیبپذیریهایی هستند که امکان اجرا و استقرار کدهای باجافزاری و دیگر تهدیدات سایبری را برای آنها فراهم میکند. از اینرو تا زمانی که بهروزرسانیها و وصلههای موجود اعمال نشوند، تبهکاران سایبری قادر به سوءاستفاده از آنها و ادامه حملات موفق خود هستند.
گزارش محققان حاکی از آن است که میانگین زمان صرف شده جهت رفع آسیبپذیریهای مهم از 197 روز در آوریل 2021 به 205 روز در می 2021 افزایش یافته است. امسال نیز محققان کوالیس در گزارش خود اعلام نمودهاند که به طور متوسط 194 روز از زمانی که یک ضعف امنیتی در سیستمهای سازمان کشف میشود تا زمانی که همه موارد وصله میشوند زمان میبرد.
سازمانها باید فوراً این آسیبپذیریها را اولویتبندی و وصلههای لازم را اعلام کنند، به ویژه در سیستمها، پایگاهدادهها و زیرساختهای حیاتی متصل به اینترنت که اولین هدف مهاجمان هستند. تیمهای امنیتی باید همواره زمانی را برای مدیریت آسیبپذیری و اعمال بهروزرسانیهای امنیتی مهم اختصاص دهند، به ویژه اگر مشخص شود که ضعفهای مذکور توسط تبهکاران سایبری مورد سوءاستفاده قرار گرفته است. مدیریت آسیبپذیری ترکیبی از ارزیابی ضعفهای امنیتی، اولویتبندی آنها و اعمال وصلههای مربوطه است.
مشروح گزارش کوالیس در لینک زیر قابل مطالعه است:
https://blog.qualys.com/product-tech/2021/10/05/assess-risk-ransomware-attacks-qualys-research