info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

خطر بزرگ سو‌استفاده از آسیب‌پذیری حیاتی وب‌لاجیک اوراکل

خلاصه: هفته پیش که آسیب‌پذیری حیاتی سرور‌های وب‌لاجیک اوراکل کشف شد دور از انتظار نبود که هکرها به سو‌استفاده از این آسیب‌پذیری بپردازند. اگر می‌خواهید قربانی بدافزار‌های مختلفی که از این آسیب‌پذیری برای توزیع استفاده می‌کنند نشوید هرچه زودتر وصله رفع این آسیب‌پذیری را نصب نمایید.

 

هفته پیش که یک آسیب‌پذیری حیاتی روی سرور‌های وب‌لاجیک اوراکل کشف شد، پیش‌بینی می‌شد که این آسیب‌پذیری که با درجه ۹.۸ مشخص شده است مورد سو‌استفاده هکرها و مجرمان سایبری قرار گیرد. هکرها از این آسیب‌پذیری‌ها برای حملات مختلفی همچون استخراج رمز‌ارز، فیشینگ و باج‌افزار استفاده نموده‌اند.

همانطور که پیش‌بینی می‌شد این آسیب‌پذیری حیاتی به صورت فعالانه توسط هکرها مورد سو‌استفاده قرار گرفته و نوع جدیدی از باج‌افزار که قبلا مشاهده نشده با نام Sodinokibi با استفاده از آن توزیع می‌شود.

این آسیب‌پذیری حیاتی که در هفته گذشته گزارش شد به مهاجمین اجازه می‌داد که تنها با ارسال یک درخواست Http و بدون نیاز به احراز هویت دستورات دلخواه را از راه دور اجرا نمایند.

این آسیب‌پذیری که با کد CVE-2019-2725 شناخته می‌شود روی همه نسخه‌های نرم‌افزار اوراکل وب لاجیک تاثیرگذار بوده و درجه ۹.۸ از ۱۰ را دارد. به همین دلیل اوراکل یک به‌روز‌رسانی خارج از برنامه برای رفع این آسیب‌پذیری منتشر نموده و تنها یک روز پس از آن این آسیب‌پذیری افشای عمومی شده و سو‌استفاده‌هایی از این آسیب‌پذیری مشاهده شد.

بر اساس گزارش‌های تیم تحقیقاتی تهدیدات سیسکو تالوس، یک گروه هکری ناشناخته از این آسیب‌پذیری سو‌استفاده نموده و یک نوع جدید از باج‌افزار را به کمک آن توزیع می‌نماید.

باج‌افزار Sodinokibi یک نسخه خطرناک باج‌افزاری است که برای رمز نمودن فایل‌های مسیر کاربر طراحی شده و پس از رمزنگاری بک‌آپ‌های فایل‌ها را نیز از روی سیستم پاک نموده تا کاربر نتواند اطلاعات خود را با ریکاوری فایل‌های خود را بازگرداند.

از آنجایی که مهاجمان امکان اجرای دستورات را روی سرور‌های وب‌لاجیک دارند، بر خلاف باج‌افزار‌های معمول، آلوده شدن به این باج‌افزار بدون هیچ دخالتی از سمت کاربر، آن را آلوده می‌نماید.

معمولا باج‌افزار‌ها برای آلوده نمودن سیستم نیاز به این دارند که کاربر ایمیلی را باز نماید، روی لینک آلوده‌ای کلیک کند و یا برنامه‌ای را اجرا کند. اما این باج‌افزار بدون نیاز به کاربر سیستم را آلوده می‌نماید.

این باج‌افزار پس از اجرا شدن روی سیستم درخواست باج ۲.۵۰۰ دلاری نموده که در صورتی که در زمان مشخص شده پرداخت نشود به میزان ۵۰۰۰ دلار افزایش می‌یابد.

اما هکرها در این حمله رفتار عجیبی داشته و تنها هشت ساعت پس از آلوده شدن با این باج‌افزار جدید، نسخه ۵.۲ باج‌افزار GandCrab را روی سیستم قربانیان نصب نموده‌اند! به نظر می‌رسد هکرها هم به باج‌افزار جدید خود نیز اعتماد ندارند.

با توجه به اهمیت بسیار زیاد این آسیب‌پذیری و رتبه سوم ایران در سرور‌های آسیب‌پذیر لازم است که مدیران سیستم هرچه زودتر به‌روز‌رسانی مورد نظر را نصب نموده تا از خطرهای سو‌استفاده از این آسیب‌پذیری در امان باشند.

    

مطالب مرتبط

تحت نظارت وف ایرانی