مهر ۵, ۱۳۹۹
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

هکرهای ایرانی در تلاش برای اکسپلویت نقص بحرانی F5 BIG-IP

هکرهای ایرانی در تلاش برای اکسپلویت نقص بحرانی F5 BIG-IP

FBI هشداری درباره هکرهای ایرانی که سعی در اکسپلویت نقص بحرانی F5 Big-IP دارند، صادر کرده است. این هکرها در تلاش‌اند تا از آسیب‌پذیری اجرای کد از راه دور غیرمجاز که  Big-IPرا تحت‌تأثیر قرار می‌دهد، سوءاستفاده کنند.  این نقص امنیتی، در ADC محصول Big-IP شرکت F5 وجود دارد و عموما توسط بانک‌ها، آژانس‌های دولتی و شرکت‌های لیست Fortune 500 (مانند آمازون و اپل) استفاده می‌شود.

سرویس اطلاعاتی و امنیتی آمریکا در اطلاعیه‌ای مربوط به صنایع خصوصی (PIN) اعلام کرده که هکرهای تحت حمایت ایران، از اوایل جولای 2020، سعی در به‌خطر انداختن دستگاه‌های ADC Big-IP داشتند.

حملات موفق، می‌توانند منجر به استقرار باج‌افزار شوند

ماه گذشته، CISA حملات موفقیت‌آمیز علیه دو سازمان را تأیید کرد که در آن، به‌طور فعال از این آسیب‌پذیری بهره‌برداری شده بود. FBI می‌گوید که هکرها ممکن است اطلاعات حساس را جمع‌آوری و سرقت کنند.

همچنین، یک حمله موفق ممکن است به استقرار باج‌افزار در یک شبکه به خطر افتاده و سرقت اعتبار ختم شود که این موضوع، می‌تواند برای دسترسی به سایر دستگاه‌های شبکه استفاده شود.

فعالیت‌های قبلی این گروه

آژانس FBI، با بررسی سوابق این گروه، خاطرنشان کرد که ممکن است قبل از این که شرکت‌ها قادر به patch کردن دستگاه‌های آسیب‌پذیر خود باشند، این گروه دست به حملات خطرناک‌تری برای سوءاستفاده از آسیب‌پذیری CVE-2020-5902 بزند.
با توجه به گزارش FBI، همین گروه، از آگوست 2019 در پشت پرده کمپین‌های مختلفی بودند که دستگاه‌های آسیب‌پذیر VPN را مورد هدف قرار می‌دادند.

در صورتی که شبکه‌ای به خطر بیفتد، هکرها از ابزارهای مخصوص بعد از اکسپلویت مانند NMAP، Mimikatz و سایر ابزارهای مخصوص شناسایی داخل شبکه استفاده می‌کنند و در کنار این‌ها، کاربران جدید را هم به سیستم‌های هک شده اضافه می‌کنند.

اقدامات شناسایی و بازیابی

طبق اعلامیه امنیتی F5، به احتمال زیاد، تمام دستگاه‌های Patch نشده، به‌خطر افتاده‌اند. به ادمین‌های IT توصیه می‌شود که از ابزار شناسایی IoC مربوط به CVE-2020-5902 برای اسکن IOCهای محیط سازمان خود استفاده کنند.
CISA به تمام سازمان‌ها توصیه می‌کند که مراحل زیر را برای شناسایی سوءاستفاده از این آسیب‌پذیری طی کنند.

  • سیستم‌های آسیب‌دیده را قرنطینه یا خاموش کنید.
  • تمام آرتیفکت‌ها، مانند فرایندها/سرویس‌های درحال اجرا، احرازهویت‌های غیرعادی و اتصالات اخیر شبکه را جمع‌آوری و بررسی کنید.
  • برای شناسایی فعالیت‌های مخرب، از یک امضای Snort که توسط CISA ایجاد شده باشد، استفاده کنید.

اگر شواهدی پیدا کردید که نشان از اکسپلویت این آسیب‌پذیری دارد، باید سریعاً اقدامات زیر را انجام دهید:

  • Reimage هاست‌های به‌خطرافتاده
  • تهیه اعتبارنامه‌های جدید
  • محدود کردن دسترسی به رابط مدیریت تا حد امکان
  • پیاده‌سازی تقسیم‌بندی شبکه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *