ترمیم بیش از ۲۰۰ ضعف امنیتی در محصولات شرکت‌های فناوری

/در , , , , , /توسط
کارشناسان و متخصصان آی‌تی در سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی، با اعمال بر ۲۰۰  ترمیم‌ امنیتی، راه نفوذ مهاجمان سایبری را به شبکه‌های سازمانی مسدود می‌کنند. 
 
 از آنجا که در سال‌های اخیر موارد متعددی از سوءاستفاده هکرهای مستقل و مهاجمان با پشتوانه دولتی از آسیب‌پذیری‌های بخصوص VMware برای یافتن دسترسی به شبکه‌های سازمانی دیده شده است، کارشناسان مرکز مدیریت راهبردی افتا، همه متخصصان و کارشناسان IT سازمان‌ها و دستگاه‌های دارای زیر ساخت حیاتی را توصیه اکید می‌کنند تا در کمترین زمان ممکن و  با اولویت، وصله‌های مربوط به ۱۱ شرکت فناورانه معروف جهان،  را در سیستم‌ها و شبکه‌های خود اعمال کنند.
 
به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی برای برخی محصولات ۱۱ شرکت بزرگ فناوری در جهان است که محصولات آنان در داخل کشور ما نیز در حال استفاده است. این شرکت‌ها شامل مایکروسافت، سیسکو، وی‌اِم‌وِیر، بیت‌دیفندر، سونیک‌وال، جونیپر نت‌ورکز، اس‌آپ، سامبا، وردپرس، دروپال و اگزیم هستند که به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی را در اردیبهشت ماه۱۴۰۰،  برای برخی محصولات خود ارائه کرده‌اند.
 
این شرکت‌های بزرگ فناوری تولیدکننده محصولات فناورانه، سخت‌افزارهای شبکه، تجهیزات مخابراتی، نرم‌افزارهای رایانه‌ای، مجازی‌سازی و سازمانی، امنیت شبکه، محافظت از داده، سیستم مدیریت محتوا، خدمات بانکداری و صندوق‌های سرمایه‌گذاری هستند. وصله‌های امنیتی اعلام‌شده این ۱۱ شرکت، قادر است آسیب‌پذیری‌های بحرانی، مهم و با درجه حساسیت میانه را ترمیم کند. 
 
مهاجمان سایبری توانسته‌اند قبل از اعمال این ترمیم‌ها، با نفوذ به شبکه‌های سازمانی در بسیاری از کشورها،  کد از راه دور روی سرورهای آسیب‌پذیر اجرا، کد Exploit در برخی وب‌سایت تزریق و کاربران را به آن‌ها هدایت، کنترل دستگاه‌ها، سیستم‌های آسیب‌پذیر و سایت‌های تحت مدیریت سامانه‌های قربانی شده را در اختیار گرفته و دسترسی شبکه‌ای پیدا کنند.
 
اطلاعات فنی این آسیب پذیری‌ها، گزارش‌های هریک از ۱۱ شرکت‌ فناوری، جزئیات وصله‌های امنیتی توصیه‌شده، شیوه‌های ارتقای محصولات و ضدویروس‌ها و لینک‌های دسترسی یه اطلاعیه‌های امنیتی شرکت‌های یادشده در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.
 

ترمیم بیش از ۲۰۰ ضعف امنیتی در محصولات شرکت‌های فناوری

/در , , , , , /توسط
کارشناسان و متخصصان آی‌تی در سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی، با اعمال بر ۲۰۰  ترمیم‌ امنیتی، راه نفوذ مهاجمان سایبری را به شبکه‌های سازمانی مسدود می‌کنند. 
 
 از آنجا که در سال‌های اخیر موارد متعددی از سوءاستفاده هکرهای مستقل و مهاجمان با پشتوانه دولتی از آسیب‌پذیری‌های بخصوص VMware برای یافتن دسترسی به شبکه‌های سازمانی دیده شده است، کارشناسان مرکز مدیریت راهبردی افتا، همه متخصصان و کارشناسان IT سازمان‌ها و دستگاه‌های دارای زیر ساخت حیاتی را توصیه اکید می‌کنند تا در کمترین زمان ممکن و  با اولویت، وصله‌های مربوط به ۱۱ شرکت فناورانه معروف جهان،  را در سیستم‌ها و شبکه‌های خود اعمال کنند.
 
به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی برای برخی محصولات ۱۱ شرکت بزرگ فناوری در جهان است که محصولات آنان در داخل کشور ما نیز در حال استفاده است. این شرکت‌ها شامل مایکروسافت، سیسکو، وی‌اِم‌وِیر، بیت‌دیفندر، سونیک‌وال، جونیپر نت‌ورکز، اس‌آپ، سامبا، وردپرس، دروپال و اگزیم هستند که به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی را در اردیبهشت ماه۱۴۰۰،  برای برخی محصولات خود ارائه کرده‌اند.
 
این شرکت‌های بزرگ فناوری تولیدکننده محصولات فناورانه، سخت‌افزارهای شبکه، تجهیزات مخابراتی، نرم‌افزارهای رایانه‌ای، مجازی‌سازی و سازمانی، امنیت شبکه، محافظت از داده، سیستم مدیریت محتوا، خدمات بانکداری و صندوق‌های سرمایه‌گذاری هستند. وصله‌های امنیتی اعلام‌شده این ۱۱ شرکت، قادر است آسیب‌پذیری‌های بحرانی، مهم و با درجه حساسیت میانه را ترمیم کند. 
 
مهاجمان سایبری توانسته‌اند قبل از اعمال این ترمیم‌ها، با نفوذ به شبکه‌های سازمانی در بسیاری از کشورها،  کد از راه دور روی سرورهای آسیب‌پذیر اجرا، کد Exploit در برخی وب‌سایت تزریق و کاربران را به آن‌ها هدایت، کنترل دستگاه‌ها، سیستم‌های آسیب‌پذیر و سایت‌های تحت مدیریت سامانه‌های قربانی شده را در اختیار گرفته و دسترسی شبکه‌ای پیدا کنند.
 
اطلاعات فنی این آسیب پذیری‌ها، گزارش‌های هریک از ۱۱ شرکت‌ فناوری، جزئیات وصله‌های امنیتی توصیه‌شده، شیوه‌های ارتقای محصولات و ضدویروس‌ها و لینک‌های دسترسی یه اطلاعیه‌های امنیتی شرکت‌های یادشده در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.
 

تجهیزات سازمانی در خطر ۵ آسیب‌پذیری سایبری

/در , , , , , , , /توسط
در تجهیزات سازمانی پنج آسیب‌پذیری وجود دارد که هکرها برای نفوذ به شبکه‌های شرکتی و دولتی، در حال استفاده از آنها هستند.
 
به‌گزارش مرکز مدیریت راهبردی افتا، همه این پنج آسیب‌پذیری کاملاً شناخته شده و از آنها در حملات مهاجمان دولتی و گروه‌های جرایم اینترنتی استفاده شده است.
 
هکرها به طور مکرر شبکه‌های سیستم‌های آسیب‌پذیری‌ شده را اسکن می‌کنند و در تلاش برای به‌دست‌آوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
 
سه آژانس امنیتی و امنیت سایبری آمریکا، شامل آژانس امنیت سایبری و زیرساخت (CISA) ، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) ، این هکرها را SVR (سرویس اطلاعات خارجی روسیه) خوانده‌اند.
 
بر اساس هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR   از چهار نوع از این آسیب‌پذیری‌ها برای هدف قراردادن و نفوذ به شبکه‌های شرکت‌های فعال در ساخت واکسن COVID-19 استفاده کرده‌اند.
 
آژانس امنیت ملی آمریکا (NSA)  نیز در دسامبر سال ۲۰۲۰ به شرکت‌های آمریکایی هشدار داده بود که هکرهای روسی از آسیب‌پذیری VMWare بعنوان پنجمین باگ سوءاستفاده می‌کنند.
 
با استفاده از آسیب‌پذیری‌های 5گانه جدید، مهاجمان ممکن است سعی کنند از یک نقطه‌ضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرم‌افزار، داده‌ها یا دستورات، استفاده کنند تا رفتاری ناخواسته و یا پیش‌بینی‌نشده‌ای انجام دهند.
 
ممکن است مهاجمان از سرویس‌های از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده می‌کنند، کمک بگیرند؛ سرویس‌های از راه دور مانند VPN ها، Citrix  و سایر مکانیزم‌های دسترسی به‌ویژه پروتکل ریموت دسکتاپ (RPD)  که به کاربران امکان می‌دهند از مکان‌های خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.
 
به متولیان امنیت سایبری شرکت‌ها و سازمان‌ها توصیه می‌شود، با اولویت ویژه، شبکه‌های خود را از نظر شاخص سازش مربوط به هر پنج آسیب‌پذیری و تکنیک‌های تفصیلی بررسی کرده و اقدامات فوری را انجام دهند. 
 
برای مقابه با این نفوذهای سایبری لازم و ضروری است تا مدیران، متخصصان و کارشناسان IT دستگاه‎های زیرساختی، سیستم‌ها و محصولات را به‌روز نگه دارند و در به‌روزرسانی وقفه‌ای ایجاد نکنند، چراکه بسیاری از مهاجمان از آسیب‌پذیری‌های متعدد استفاده می‌کنند.
 
واحدهای IT زیرساخت‌ها باید قابلیت‌های مدیریت خارجی را غیرفعال کنند و یک مدیریت شبکه out-of-band را راه‌اندازی کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا هم از مدیران، متخصصان و کارشناسان IT دستگاه‎های زیرساختی خواسته‌اند با فرض اینکه نفوذ اتفاق می‌افتد، برای فعالیت‌های پاسخگویی به حوادث، آماده باشند. 
 
لیست پنج آسیب‌پذیری مورد سوء استفاده هکرهای  SVRو تکنیک‌های نفوذ آنان، نشانه های آلودگی(IOC)، رول های شناسایی  و همچنین راهکارهای عمومی برای جلوگیری از حملات سایبری از محل این 5 آسیب‌پذیری، را می‌توانید در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی : https://www.afta.gov.ir/portal/home/?news/235046/237266/243431/  مشاهده و دریافت کنید.

هشدار: اختلال تجهیزات Juniper Networks از راه دور

/در , , , , , /توسط
 
 
یک آسیب‌پذیری مهم در تجهیزات شرکت Juniper Networks می‌تواند به یک مهاجم سایبری اجازه دهد دستگاه‌های آسیب‌دیده را از راه دور مختل کند.
 
 آسیب‌پذیری در تجهیزات شرکت Juniper Networks می‌تواند به یک مهاجم سایبری اجازه دهد دستگاه‌های آسیب‌دیده را از راه دور Hijack یا مختل کند. این حفره مهم امنیتی به‌عنوان CVE-2021-0254 شناخته می‌شود و بر سیستم‌عامل Junos اثر می‌گذارد. این آسیب‌پذیری را می‌توان توسط یک مهاجم از راه دور برای اجرای کد دلخواه یا ایجاد شرایط انکار سرویس (DoS) در دستگاه موردنظر استفاده کرد.
 
بهره‌برداری از این آسیب‌پذیری شامل ارسال بسته‌های دست‌کاری‌شده ویژه، به سیستم موردنظر است و می‌توان با ارسال مداوم بسته‌های مخرب، یک حمله پایدار DoS را آغاز کرد. این آسیب پذیری را یکی از محققان شرکت امنیت سایبری STAR Labs مستقر در سنگاپور کشف کرده است. به گفته این محقق، مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده می‌کند می‌تواند به سیستم موردنظر دسترسی Root پیدا کرده و سپس یک "بک‌دور" نصب کند یا دستگاه را به هر شکلی که بخواهد پیکربندی کند.
 
این آسیب‌پذیری می‌تواند به‌تنهایی مورد سوءاستفاده قرار گیرد و نیازی نیست که یک مهاجم از آسیب‌پذیری‌های دیگر استفاده کند. از لحاظ تئوری حملات از طریق اینترنت امکان‌پذیر است، اما دستگاه‌های آسیب‌پذیر معمولاً به اینترنت متصل نیستند، بنابراین اگر از طریق اینترنت بتوان به چنین سیستمی دسترسی پیدا کرد، احتمالاً پیکربندی سیستم، اشتباه انجام شده است. 
 
شرکت جونیپر که از طریق محقق کشف کننده آسیب پذیری در جریان حفره امنیتی تولید خود قرار گرفته، اعلام کرده است که از حملات مخرب سوءاستفاده از این آسیب‌پذیری مطلع نبوده است، اما خاطرنشان کرد که می‌توان علیه پیکربندی‌های پیش‌فرض حمله کرد. اطلاعات فنی این حفره امنیتی و شیوه‌های پوششی مهاجمان برای دسترسی از راه دور به سیستم های آسیب دیده Junos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قرار دارد.
 

هشدار: اختلال تجهیزات Juniper Networks از راه دور

/در , , , , , /توسط
 
 
یک آسیب‌پذیری مهم در تجهیزات شرکت Juniper Networks می‌تواند به یک مهاجم سایبری اجازه دهد دستگاه‌های آسیب‌دیده را از راه دور مختل کند.
 
 آسیب‌پذیری در تجهیزات شرکت Juniper Networks می‌تواند به یک مهاجم سایبری اجازه دهد دستگاه‌های آسیب‌دیده را از راه دور Hijack یا مختل کند. این حفره مهم امنیتی به‌عنوان CVE-2021-0254 شناخته می‌شود و بر سیستم‌عامل Junos اثر می‌گذارد. این آسیب‌پذیری را می‌توان توسط یک مهاجم از راه دور برای اجرای کد دلخواه یا ایجاد شرایط انکار سرویس (DoS) در دستگاه موردنظر استفاده کرد.
 
بهره‌برداری از این آسیب‌پذیری شامل ارسال بسته‌های دست‌کاری‌شده ویژه، به سیستم موردنظر است و می‌توان با ارسال مداوم بسته‌های مخرب، یک حمله پایدار DoS را آغاز کرد. این آسیب پذیری را یکی از محققان شرکت امنیت سایبری STAR Labs مستقر در سنگاپور کشف کرده است. به گفته این محقق، مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده می‌کند می‌تواند به سیستم موردنظر دسترسی Root پیدا کرده و سپس یک "بک‌دور" نصب کند یا دستگاه را به هر شکلی که بخواهد پیکربندی کند.
 
این آسیب‌پذیری می‌تواند به‌تنهایی مورد سوءاستفاده قرار گیرد و نیازی نیست که یک مهاجم از آسیب‌پذیری‌های دیگر استفاده کند. از لحاظ تئوری حملات از طریق اینترنت امکان‌پذیر است، اما دستگاه‌های آسیب‌پذیر معمولاً به اینترنت متصل نیستند، بنابراین اگر از طریق اینترنت بتوان به چنین سیستمی دسترسی پیدا کرد، احتمالاً پیکربندی سیستم، اشتباه انجام شده است. 
 
شرکت جونیپر که از طریق محقق کشف کننده آسیب پذیری در جریان حفره امنیتی تولید خود قرار گرفته، اعلام کرده است که از حملات مخرب سوءاستفاده از این آسیب‌پذیری مطلع نبوده است، اما خاطرنشان کرد که می‌توان علیه پیکربندی‌های پیش‌فرض حمله کرد. اطلاعات فنی این حفره امنیتی و شیوه‌های پوششی مهاجمان برای دسترسی از راه دور به سیستم های آسیب دیده Junos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قرار دارد.
 

هشدار مرکز افتا؛ سیستم های برنامه ریزی منابع سازمانی هدف مهاجمان سایبری

/در , , , , , , /توسط
مرکز مدیریت افتا با اعلام اینکه سیستم های نرم افزاری برنامه ریزی منابع سازمانی (SAP ) هدف مهاجمان سایبری قرار گرفته اند، هشدار داد که این ناامنی امکان سرقت داده های حساس را فراهم می کند.
 
به گزارش مرکز مدیریت راهبردی افتا، اجرا نکردن اصلاحیه‌های برنامه‌های SAP ، این برنامه‌ها را هدف مهاجمان سایبری قرار داده و در برخی از این حملات، دسترسی کامل به برنامه‌های ناامن SAP برقرار شده، کنترل‌های معمول امنیتی بی‌اثر شده و در نهایت امکان سرقت داده‌های حساس، انجام کلاهبرداری‌های مالی و حتی توزیع باج‌افزار فراهم شده است.
 
شرکت Onapsis نسبت به حمله مهاجمان به نسخ آسیب‌پذیر برنامه‌های با عملکرد حیاتی SAP (سیستم‌های برنامه ریزی منابع سازمانی) هشدار داده است و در بازه ژوئن ۲۰۲۰ تا مارس ۲۰۲۱ این شرکت، ۱۵۰۰ حمله را در نزدیک به ۲۰ کشور رصد کرده که ۳۰۰ مورد از آنها منجر به هک برنامه‌های SAP شده است.
 
نکته قابل توجه این‌که به دلیل ماهیت بسیاری از برنامه‌ها با عملکرد حیاتی SAP، در این حملات کمتر نیازی به گسترش دامنه حمله از طریق Lateral Movement خواهد بود و استخراج داده‌های با ارزش سازمان به‌سادگی برای مهاجمان میسر می‌شود.
 
در گزارش مشترک شرکت‌های Onapsis و SAP از مشتریان خواسته شده است تا اصلاحیه‌های برنامه‌های SAP را اعمال کرده و وضعیت، تنظیمات و پیکربندی‌های امنیتی آنها را بررسی و ارزیابی کنند.
 
برخی مشتریان SAP در حالی همچنان از نسخ آسیب‌پذیر SAP استفاده می‌کنند که سال‌هاست اصلاحیه‌های امنیتی برای آنان منتشر شده است، به‌خصوص آنکه در مواردی این برنامه‌ها روی اینترنت نیز در دسترس قرار گرفته‌اند و عملاً به درگاهی برای دستیابی به اطلاعات سازمان تبدیل شده‌اند.
 
کارشناسان مرکز مدیریت راهبردی افتا از متخصصان IT زیرساخت‌ها خواسته‌اند تا در اسرع وقت ریسک تمامی برنامه‌ها در بستر SAP را ارزیابی کرده و به‌سرعت اصلاحیه‌های امنیتی روی آنها را اعمال و پیکربندی‌ها را امن کنند.
 
لازم است تا مدیران و متخصصان IT زیر ساخت‌ها، مورد حمله قرار گرفتن برنامه‌های آسیب‌پذیر SAP و آنهایی که به‌موقع اصلاحیه روی آنها اعمال نشده است را به سرعت ارزیابی کنند و ارزیابی برنامه‌های SAP که روی اینترنت در دسترس قرار گرفته‌اند را در اولویت قرار دهند.
 
برای جلوگیری از دسترسی مهاجمان سایبری لازم است تا فوراً برنامه‌های SAP از لحاظ پیکربندی‌های نادرست و یا وجود کاربران غیرمجاز با دسترسی بالا بازبینی شده و برنامه‌های در معرض ریسک از لحاظ هک شدن ارزیابی شوند.
 
کارشناسان افتا از متخصصان و مدیران IT زیرساخت‌ها خواسته‌اند تا در صورتی که برنامه‌های SAP در معرض حمله قرار گرفته‌اند و مقاوم سازی آنها در آینده‌ای نزدیک فراهم نیست، کنترل‌های جایگزین را اعمال و اجرای هر گونه فعالیت بالقوه تهدیدآمیز را به‌طور فعال و مستمر رصد کنند.

هشدار افتا درباره سوء استفاده از آسیب‌پذیری Microsoft Exchange

/در , , , , , /توسط
 
مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Microsoft Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.
 
 مرکز مدیریت راهبردی افتا با هشداری اضطراری اعلام کرد کارشناسان این مرکز،  برای جلوگیری از سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange از متخصصان و کارشناسان IT حوزه های زیرساختی کشور خواسته‌اند تا بطور موقت سرورهای Exchange را از شبکه سازمان‌های خود جدا کنند و سرورهای Exchange را بررسی فارنزیکی کنند.  
 
کارشناسان مرکز مدیریت راهبردی افتا همچنین از کارشناسان و متخصصان حوزه IT زیرساخت‌ها خواسته‌اند تا شواهد وجود «وب شل» را در شبکه سازمانی خود  به کمک کتابچه شکار وب شل بررسی کنند، این کتابچه راهنما در سایت مرکز افتا قرار داده شده است.
 
مرکز افتا از مسئولان حوزه IT زیرساخت‌ها خواسته است در صورت مشاهده وجود شواهد نفوذ، بلافاصله این مرکز را از طریق پست الکترونیکی [email protected] مطلع کنند. مسوولان، متخصصان و کارشناسان IT سازمان‌های زیرساختی کشور باید در کمترین زمان ممکن، وصله‌های ارائه‌شده توسط مایکروسافت را بر روی سرورهای Exchange اعمال و در صورت عدم وجود شواهد نفوذ، سرورها را به شبکه متصل کنند.
 
بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.
 
شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف  Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است. خبر کامل این هشدار افتایی به همراه اطلاعات فنی آن در این لینک در سایت مرکز مدیریت راهبردی افتا منتشر شده است.
 

افزایش چشم‌گیر تهدیدات Web Shell

/در , , , , , , , /توسط
 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.

افزایش چشم‌گیر تهدیدات Web Shell

/در , , , , , , , /توسط
 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.