♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

در اخبارهای پیشین راجع به بدافزار IIS مایکروسافت صحبت کردیم. حال قصد داریم به معرفی شکافی بپردازیم که امکان نصب این بدافزار (ISN) را مهیا می*کند.

تحقیقات نشان داده که نفوذگران از شکاف کلدفیوژن برای نصب بدافزار IIS مایکروسافت کمک گرفته*اند. این بدافزار به عنوان یک ماژول IIS کار می*کند و قادر است اطلاعاتی را که کاربر در فرم*های وب وارد می*کند ضبط نماید. 


متن کلی:

به گزارش سرویس خبری IDG، نفوذگران از یک آسیب*پذیری موجود در ادوبی کلدفیوژن برای راه*اندازی بدافزار سارق اطلاعاتی استفاده می*کنند که در پوشش ماژول نرم*افزار کارگزار وب IIS عمل می*کند.

همان*طور که پیشتر گفتیم بدافزار ISN ابتدا نسخه*ی IIS را تشخیص داده، سپس ماژول DLL مرتبط با آن را نصب می*کند، ماژولی که به نظارت بر درخواست*های POST و داده*های ارسالی در نشانی*های وب ویژه می*پردازد و اطلاعات به دست *آمده را در یک پرونده*ی گزارش ثبت می*نماید.

این روش اجازه می*دهد که داده*ها، حتی در صورتی که اتصال میان کاربر و کارگزار توسط SSL محافظت شده باشد، جمع*آوری شود.

محققان در پست تازه*ای که روز جمعه منتشر کردند نشان دادند که ISN به کمک سوءاستفاده از یک آسیب*پذیری دور زدن از راه دور احراز هویت در بستر تحت وب ادوبیِ کلدفیوژن می*تواند روی کارگزارهای IIS مورد نفوذ نصب شود.

ادوبی وصله*ای را در ماه ژانویه برای این آسیب*پذیری که دارای شناسه*ی CVE-2013-0629 می*باشد، منتشر نموده است. در این عملیات مخرب، نفوذگران با بهره*گیری از CVE-2013-0629 اقدام به نصب یک در پشتی به نام Web shell نموده*اند که به آن*ها اجازه می*دهد دستورات پوسته1 را در سامانه*ی عامل اجرا نمایند.

پژوهش*گران Trustwave این نقص کلدفیوژن را که به نصب ISN می*انجامد در اواخر ماه فوریه و یک ماه پس از انتشار وصله از سوی ادوبی مورد تجزیه و تحلیل قرار داده*اند.

این پژوهش*گران می*گویند: «در این رخداد خاص، نهاد قربانی از آسیب*پذیری گزارش*شده از سوی ادوبی آگاه بوده، اما هنوز نسبت به نصب وصله اقدام نکرده است.»

درواقع این حادثه مشکل ضعف بسیاری از سازمان*ها را در تنظیم برنامه*های زمانی*شان جهت نصب وصله* بازگو می*نماید، برنامه*هایی که عقب*تر از مهاجمان امروزی هستند، چرا که مهاجمان راغب*اند از آسیب*پذیری*هایی سوءاستفاده کنند که به تازگی افشاء شده*اند و دیگر به شکاف*های نرم*افزاری قدیمی بسنده نمی*کنند.

همچنین می*توان نتیجه گرفت که کلدفیوژن به سوژه*ی جالبی برای مهاجمان مبدل شده است. ادوبی در سال جاری دو بار در مورد آسیب*پذیری*های خود به کاربران خود هشدار داده و خاطرنشان کرده که این شکاف*ها هیچ وصله*ای ندارند و به*طور قابل ملاحظه*ای در معرض سوءاستفاده توسط نفوذگران سایبری قرار دارند.

در ماه آوریل هم نفوذگران به واسطه*ی شکافی در کلدفیوژن که تا آن زمان ناشناخته بود، به کارگزارهای مدیریتی و پایگاه داده*ی کاربران Linode نفوذ کردند؛ Linode یک کارگزار خصوصی مجازی است.