02632533311
02632533311

هیچ محصولی در سبد خرید نیست.

SQL injection برچسب
خانه پست های برچسب شده "SQL injection"
مقالات

برای غلبه بر حمله‌های هکری و تلاش هکرها برای نفوذ به شبکه‌های سازمانی، شرکت‌ها باید شناخت دقیقی درباره نحوه پیاده‌سازی حمله‌های سایبری داشته باشند. بر همین اساس، مهم است با مهم‌ترین حملات سایبری آشنا باشید تا بدانید شبکه ارتباطی سازمان با چه تهدیدهایی روبرو است.

هکرها همچون گذشته، برای کنجکاوی و تفریح به شبکه‌های سازمانی حمله نمی‌کنند، بلکه در قالب جرایم سازمان‌ یافته به نهادهای خصوصی و دولتی حمله می‌کنند تا اطلاعات آن‌ها را سرقت کنند. در حالی که اخلال و خرابکاری با هدف کسب درآمد هنوز رواج دارد، اما جاسوسی اصلی‌ترین هدفی است که هکرها در هنگام حمله به زیرساخت‌ها دنبال می‌کنند. انگیزه هرچه که باشد، تیم‌های امنیتی مجبور هستند برای حفظ امنیت سیستم‌های فناوری اطلاعات خود سخت تلاش کنند.

حملات سایبری هر روز علیه سازمان‌ها انجام می‌شود و طبق گزارشی که شرکت امنیتی چک‌پوینت منتشر کرده، در سه ماهه چهارم سال 2021، اوج حملات سایبری هفتگی به بیش از 900 حمله به هر سازمان رسیده است. این در حالی است که سال 2021 میلادی اداره فناوری اطلاعات ایالات متحده اعلام کرد، 34.9 میلیون رکورد نقض به ثبت رسیده است.

پژوهش انجام شده توسط موسسه تحقیقاتی RiskIQ نشان می‌دهد جرایم سایبری در هر دقیقه خسارت سنگینی به سازمان‌ها وارد می‌کنند. در شرایطی که برخی از هزینه‌ها ملموس هستند، در نقطه مقابل، برخی دیگر ناپیدا هستند. در هر دو حالت، حمله‌های سایبری باعث از دست رفتن مستقیم دارایی‌ها، کاهش درآمد و بهره‌وری، سبل اعتماد از برند و غیره می‌شوند.

آمارها نشان می‌دهند، جرایم سایبری حول محور سوء استفاده از آسیب‌پذیری‌ها هستند، این درست همان نقطه‌ای است که تیم‌های امنیتی در آن نقطه ضعف دارند، زیرا باید اطلاع دقیقی در ارتباط با همه نقاط ورودی یک سازمان داشته باشند تا بتوانند به شکل درستی از آن‌ها محافظت کنند. در شرایطی که یک مهاجم تنها به یک نقطه ضعف یا آسیب‌پذیری نیاز دارد تا بتواند از آن سوء استفاده کند. این عدم تقارن به شدت به نفع هکرها است، در نتیجه حتی شرکت‌های بزرگ نیز برای پیشگیری از کاهش میزان فروش و متوقف شدن فعالیت‌های تجاری از سوی هکرها مجبور هستند به شکل شبانه‌روز فعالیت‌های انجام شده در شبکه را مورد بررسی قرار دهند و اطمینان حاصل کنند که کاربران و کارمندان بدون مشکل به سرویس‌های موردنیاز خود دسترسی دارند.

واقعیت این است که سازمان‌های کوچک و بزرگ به ایک اندازه در معرض حملات سایبری قرار دارند. مجرمان سایبری از هر دستگاه متصل به اینترنت به عنوان سلاح، هدف یا هر دو استفاده می‌کنند. اصل مهم این است که از طریق به کارگیری بهترین تمهیداتی امنیتی از شبکه‌های سازمانی محافظت کنید. با این مقدمه به سراغ معرفی 9 مورد از مخرب‌ترین حملات سایبری می‌پردازیم.

1. حمله بدافزاری

بدافزار یا نرم‌افزار مخرب، اصطلاحی است که اشاره به یک برنامه یا فایل مخرب دارد که برای سوءاستفاده از دستگاه‌های کاربر در جهت منافع هکرها نوشته می‌شوند. امروزه، انواع مختلفی از بدافزارها وجود دارد، اما همه آن‌ها از تکنیک‌های فرار و مبهم‌سازی استفاده می‌کنند که نه تنها برای فریب دادن کاربران طراحی شده‌اند، بلکه توانایی گذر از کنترل‌های امنیتی را نیز دارند تا بتوانند به شکل مخفیانه و بدون اطلاع کاربر به سیستم او وارد شده یا روی دستگاه او نصب شوند. از رایج‌ترین انواع بدافزارها به موارد زیر باید اشاره کرد:

  • باج افزار: ترسناک‌ترین شکل بدافزار، باج‌افزار است. برنامه‌ای که برای رمزگذاری فایل‌های قربانی و سپس درخواست باج برای دریافت کلید رمزگشایی طراحی شده است. سال 2021 شاهد افزایش 82 درصدی حملات مرتبط با باج‌‌افزارها نسبت به سال 2020 بودیم که برخی از بزرگ‌ترین حملات تاریخ به زیرساخت‌ها و تاسیسات حیاتی را به وجود آوردند.
  • روت‌کیت: برخلاف سایر بدافزارها، روت‌کیت مجموعه‌ای از ابزارهای نرم‌افزاری است که برای باز کردن یک درب پشتی روی دستگاه قربانی استفاده می‌شود و به مهاجم اجازه می‌دهد تا بدافزار اضافی مانند باج‌افزار و کیلاگرها را نصب کند، یا کنترل و دسترسی از راه دور به دستگاه‌های دیگر را به دست آورد. برای جلوگیری از شناسایی، روت کیت‌ها اغلب نرم‌افزارهای امنیتی را غیرفعال می کنند. هنگامی که روت کیت کنترل دستگاهی را به دست می‌آورد، می‌تواند از آن برای ارسال ایمیل‌های اسپم، پیاده‌سازی شبکه‌ای از بات‌ها جمع‌آوری و ارسال داده‌های حساس استفاده کند.
  • تروجان: اسب تروجان برنامه‌ای است که دانلود و بر روی رایانه نصب می‌شود و به نظر بی‌خطر می‌آید، اما در واقع مخرب است. به طور معمول، این بدافزار در یک پیوست ایمیل با ظاهری عادی یا دانلود رایگان مستتر می‌شود. هنگامی که کاربر بر روی پیوست ایمیلی کلیک می‌کند یا برنامه رایگانی را دانلود می‌کند، بدافزار پنهان به دستگاه محاسباتی کاربر منتقل می‌شود. پس از ورود، کد مخرب هر کاری را که مهاجم طراحی کرده است اجرا می‌کند. اغلب، این روش ساده‌ترین و پر سرعت‌ترین روش برای حمله به سامانه‌ها است، همچنین، می‌تواند یک درب پشتی برای هکر ایجاد کند تا در حملات بعدی از آن استفاده کند.
  • نرم‌افزارهای جاسوسی: نرم‌افزارهای جاسوسی بر فعالیت‌های اینترنتی قربانی نظارت می‌کنند، اطلاعات ورود به سیستم‌ها را سرقت می‌کنند و سعی می‌کنند اطلاعات ارزشمندی در ارتباط با کاربران جمع‌آوری کنند. مجرمان سایبری از نرم‌افزارهای جاسوسی برای به دست آوردن شماره کارت اعتباری، اطلاعات بانکی و رمز عبور استفاده می‌کنند. برخی از جاسوس‌افزارها نیز توسط سازمان‌های دولتی در بسیاری از کشورها استفاده می‌شوند. به طور مثال، نرم‌افزار جاسوسی پگاسوس برای جاسوسی از فعالان، سیاستمداران، دیپلمات‌ها، وبلاگ‌نویسان، آزمایشگاه‌های تحقیقاتی و متحدان مورد استفاده قرار گرفت.
2. حمله رمز عبور

با وجود بسیاری از نقاط ضعف شناخته شده، گذرواژه‌ها هنوز رایج‌ترین روش احراز هویت مورد استفاده در فضای مجازی هستند. بنابراین دریافت رمز عبور هدف راهی آسان برای دور زدن کنترل‌های امنیتی و دسترسی به داده‌ها و سیستم‌های حیاتی است. مهاجمان از روش‌های مختلفی برای به دست آوردن رمز عبور کاربر استفاده می‌کنند:

  • حمله جستجوی فراگیر: مهاجم می‌تواند گذرواژه‌های شناخته‌شده، مانند password123، یا گذرواژه‌هایی را بر اساس اطلاعات جمع‌آوری‌شده از پست‌های رسانه‌های اجتماعی هدف، مانند نام حیوان خانگی برای حدس زدن اعتبار ورود به سیستم کاربر از طریق آزمون و خطا، امتحان کند. علاوه بر این، امکان استفاده از ابزارهای خودکار برای شکستن رمز عبور نیز وجود دارد.
  • حمله به دیکشنری: مشابه حمله جستجوی فراگیر است. در روش فوق از فرهنگ لغت برای شناسایی رایج‌ترین کلمات و عبارات استفاده می‌شود.
  • مهندسی اجتماعی: برای یک هکر آسان است که با جمع‌آوری اطلاعات مربوط به پست‌های رسانه‌های اجتماعی، یک ایمیل یا پیام شخصی‌سازی کند که برای کاربران واقعی به نظر برسد. این پیام‌ها، به‌ویژه اگر از یک حساب جعلی که برای کاربر آشنا باشد، ارسال می‌شوند به این امید که اعتبار ورود به سیستم به دست آید.
  • شنود رمز عبور: یک برنامه کوچک روی سیستم یا شبکه سازمانی نصب می‌شود تا نام‌های کاربری و رمزهای عبور ارسال شده در سراسر شبکه را به صورت متن شفاف استخراج کند.
  • کی لاگر: به طور مخفیانه هر کلیدی که کاربر فشار می‌دهد را برای ضبط پین کدها و سایر اطلاعات محرمانه ثبت می‌کند. این اطلاعات از طریق اینترنت برای مهاجم ارسال می شود.
  • سرقت یا خرید پایگاه داده رمز عبور: هکرها می‌توانند با نقض سیستم دفاعی شبکه سازمان، پایگاه داده اطلاعات کاربران را به سرقت ببرند تا داده‌ها را به دیگران بفروشند یا خودشان از آن استفاده کنند.

نظرسنجی که در سال 2022 توسط Identity Defined Security Alliance انجام شده نشان داد نزدیک به 84 از پاسخ دهندگان یک نقض هویت را تجربه کرده‌اند. گزارش تحقیقات نقض داده‌های 2022 شرکت Verizon نشان داد که 6161 درصد تمام نقض‌ها شامل سوء استفاده از اعتبارنامه‌ها هستند.

3. باج افزار

باج افزار در حال حاضر برجسته‌ترین نوع بدافزار است. معمولا زمانی نصب می‌شود که کاربر از یک وب‌سایت مخرب بازدید می‌کند یا یک پیوست ایمیل بسته‌شده را باز می‌کند. از آسیب‌پذیری‌های دستگاه برای رمزگذاری فایل‌های مهم مانند اسناد Word، صفحات گسترده اکسل، فایل‌های PDF، پایگاه‌های داده و فایل‌های مهم سیستم سوء استفاده می‌کند و آن‌ها را غیرقابل استفاده می‌کند. سپس، مهاجم در ازای کلید رمزگشایی مورد نیاز برای بازیابی فایل‌های قفل شده، باج درخواست می‌کند. این حمله ممکن است یک سرور حیاتی را هدف قرار دهد یا سعی کند باج افزار را بر روی سایر دستگاه‌های متصل به شبکه قبل از فعال کردن فرآیند رمزگذاری نصب کند تا همه آنها به طور همزمان مورد حمله قرار گیرند. برای افزایش فشار بر قربانیان برای پرداخت، مهاجمان اغلب تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌های استخراج شده در طول حمله را می‌فروشند یا افشا می‌کنند.

همه یک هدف احتمالی هستند، از افراد و مشاغل کوچک گرفته تا سازمان های بزرگ و سازمان های دولتی. این حملات می تواند تأثیرات مخرب جدی بر قربانی و مشتریانش داشته باشد. حمله باج‌افزار WannaCry در سال 2017 سازمان‌ها را در بیش از 150 کشور تحت تأثیر قرار داد. به طوری که اختلال در عملکرد بیمارستان‌ها به تنهایی حدود 111 میلیون دلار هزینه برای خدمات بهداشت ملی بریتانیا داشت. حمله‌ای که به خرده فروشی گوشت JBS Foods در سال 2021 انجام شد، باعث کمبود گوشت در سراسر ایالات متحده شد. برای جلوگیری از اختلال مداوم، این شرکت باج 11 میلیون دلاری پرداخت کرد، در حالی که Colonial Pipeline پس از یک حمله باج افزاری که یکی از آنها را تعطیل کرد، 5 میلیون دلار باج پرداخت کرد.

4. DDoS

حمله انکار سرویس توزیع شده (DDoS) حمله‌ای است که در آن چند سیستم کامپیوتری به یک هدف مانند سرور، وب سایت یا سایر منابع شبکه حمله می‌کنند و باعث عدم دسترسی به سرویس‌ها برای کاربران می‌شوند. سیل پیام‌های دریافتی، درخواست‌های اتصال یا بسته‌های نادرست به سیستم هدف، آن را مجبور می‌کند تا سرعت خود را کاهش دهد یا حتی از کار بیفتد و خاموش شود و در نتیجه سرویس‌دهی به کاربران یا سیستم‌های قانونی را رد کند.

سال 2021 شاهد رشد حملات DDoS بودیم که بسیاری از آن‌ها زیرساخت‌های حیاتی را در سراسر جهان مختل کردند. آمارها نشان می‌دهندحملات DDoS در مقایسه با گذشته، 29 درصد افزایش داشته‌اند. مهاجمان از قدرت هوش مصنوعی استفاده می‌کنند تا بفهمند چه نوع تکنیک‌های حمله به بهترین شکل ممکن کار می‌کنند و بات‌نت‌های خود را به آن سمت هدایت کنند تا ماشین‌های برده‌ مطابق با انتظار آن‌ها کار کنند. نگران‌کننده است که از هوش مصنوعی برای تقویت انواع حملات سایبری استفاده می‌شود.

5. فیشینگ

حمله فیشینگ نوعی کلاهبرداری است که در آن مهاجم به عنوان یک نهاد معتبر مانند یک بانک، اداره مالیات، یا شخص واقعی ایمیل‌هایی را برای افراد ارسال می‌کند تا قربانیان روی لینک‌های مخرب یا پیوست‌ها کلیک کنند. این حملات با هدف جمع‌آوری اطلاعات ارزشمند، مانند رمز عبور، جزئیات کارت اعتباری، مالکیت معنوی و غیره انجام می‌شود. راه‌اندازی یک کمپین فیشینگ آسان است و به طرز شگفت‌آوری موثر هستند. حملات فیشینگ می‌تواند از طریق تماس تلفنی (فیشینگ صوتی) و از طریق پیامک (فیشینگ پیامکی) انجام شود.

حملات فیشینگ هدف‌دار افراد یا شرکت‌های خاصی را نشانه می‌روند. حملات نهنگ نوعی حمله فیشینگ هدف‌دار است که به طور خاص مدیران ارشد یک سازمان را هدف قرار می‌دهند. یکی از انواع حملات شکار نهنگ، مبتنی بر الگوی ایمیل تجاری (BEC) است، که در آن مهاجم، کارکنان خاصی را هدف قرار می‌دهد که توانایی صدور مجوز تراکنش‌های مالی را دارند تا آن‌ها را فریب دهد تا پول را به حسابی که توسط مهاجم کنترل می‌شود، منتقل کنند.

6. حمله تزریق SQL

هر وب سایتی که مبتنی بر پایگاه داده باشد در معرض حملات تزریق SQL قرار دارد. پرس و جوی SQL درخواستی برای انجام برخی اقدامات در پایگاه داده است. در حمله فوق هکرها درخواست مخرب را برای دسترسی به داده‌های ذخیره شده در پایگاه داده به منظور ایجاد، اصلاح یا حذف کند، ارسال می‌کند، به این امید که داده‌هایی مانند مالکیت معنوی، اطلاعات شخصی را استخراج کند. تزریق SQL سومین حمله خطرناک در سال 2022 گزارش شده است. PrestaShop، توسعه‌دهنده نرم‌افزارهای تجارت الکترونیکی که محصولات آن توسط حدود 300000 خرده‌فروش آنلاین استفاده می‌شود، اخیرا به کاربران خود هشدار داده است که فورا به آخرین نسخه به‌روزرسانی شده نرم‌افزار این شرکت مهاجرت کنند، زیرا برخی از نسخه‌های قبلی در برابر حملات تزریق SQL آسیب‌پذیر هستند که مهاجم را قادر می‌سازند اطلاعات کارت اعتباری مشتری را به سرقت ببرند.

7. اسکریپت بین سایتی (Cross-site scripting)

این نوع دیگری از حمله تزریقی است که در آن مهاجم، داده‌هایی مانند یک اسکریپت مخرب را به محتوای وب‌سایت‌های مورد اعتماد تزریق می‌کند. حملات اسکریپت‌نویسی بین سایتی (XSS) زمانی رخ می‌دهد که یک هکر بتواند به روش خاصی کدی در یک برنامه وب تزریق کند و آن کد مخرب همراه با محتوای پویا برای مرورگر قربانی ارسال می‌شود. بردار حمله فوق به مهاجم اجازه می‌دهد تا اسکریپت‌های مخرب نوشته شده به زبان‌های مختلف مانند جاوا اسکریپت، جاوا، آژاکس، فلش و HTML را در مرورگر کاربر اجرا کند. این بردار حمله به هکر اجازه می‌دهد تا کوکی‌های جلسه را بدزدد و به مهاجم اجازه می‌دهد وانمود کند کاربر واقعی است، در شرایطی که قادر به انتشار بدافزار، تخریب وب‌سایت‌ها، ایجاد خرابی در شبکه‌های اجتماعی و پیاده‌سازی تکنیک‌های مهندسی اجتماعی است.

8. حمله مرد میانی

حمله مرد میانی (MiTM) جایی است که مهاجمان به طور مخفیانه پیام‌ها را بین دو طرف که معتقدند مستقیما با یکدیگر ارتباط برقرار می‌کنند، رهگیری و انتقال می‌دهند، اما در واقع، مهاجمان خود را در وسط مکالمه آنلاین قرار داده‌اند. مهاجمان می‌توانند پیام‌ها را قبل از ارسال آن‌ها به گیرنده ناآگاه، بخوانند، کپی یا تغییر دهند. یک حمله موفقیت‌آمیز MiTM می‌تواند به هکرها اجازه دهد تا اطلاعات شخصی حساس مانند اعتبارنامه ورود، جزئیات تراکنش‌ها و شماره کارت اعتباری را ضبط یا دستکاری کنند.

9. تفسیر و مسموم سازی URL

آدرس اینترنتی (URL) یک شناسه منحصر به فرد است که برای مکان‌یابی یک منبع در اینترنت استفاده می‌شود و به مرورگر وب می‌گوید که چگونه و کجا آن را بازیابی کند. برای هکرها آسان است که یک آدرس اینترنتی را تغییر دهند تا سعی کنند به اطلاعات یا منابعی دسترسی پیدا کنند که نباید به آن‌ها دسترسی داشته باشند. به عنوان مثال، اگر یک هکر به حساب کاربری خود در awebsite.com وارد شود و بتواند تنظیمات حساب خود را در https://www.awebsite.com/acount?user=2748 مشاهده کند، می‌تواند به راحتی این آدرس اینترنتی را به https://www.awebsite.com/acount?user=1733 تغییر دهد تا بتواند جزییات مربوطه را مشاهده کند. این جزییات شامل ورودی‌های ارائه شده توسط کاربر است.

این نوع حمله برای جمع‌آوری اطلاعات محرمانه مانند نام‌های کاربری، فایل‌ها و داده‌های پایگاه داده یا دسترسی به صفحات مدیریتی که برای مدیریت کل سایت استفاده می‌شوند، استفاده می‌شود. اگر یک مهاجم موفق شود از طریق دستکاری آدرس اینترنتی به منابع سازمان دسترسی پیدا کند، قادر به انواع مختلفی از کارها است.

بیشتر بخوانید
bpapir 26 دی, 1402 0 Comments
اخبار

تیم وردپرس این هفته از انتشار نسخه 6.0.2 سیستم مدیریت محتوا (CMS) با پچ‌های سه باگ امنیتی، از جمله آسیب‌پذیری تزریق SQL با شدت بالا خبر داد.

این مشکل در عملکرد لینک وردپرس، که قبلاً به عنوان «Bookmarks» شناخته می‌شد، شناسایی گردید، این مشکل تنها بر نصب‌های قدیمی‌تر تأثیر می‌گذارد، زیرا این قابلیت به طور پیش‌فرض در نصب‌های جدید غیرفعال است.

تیم Wordfence در شرکت امنیتی وردپرس با نام Defiant می‌گویند: “با این حال، این عملکرد ممکن است همچنان در میلیون‌ها سایت قدیمی وردپرس فعال باشد، حتی اگر آن‌ها نسخه‌های جدیدتر CMS را اجرا کنند.”

مجموعه Wordfence در ادامه می‌گوید: “با امتیاز CVSS 8.0، نقص امنیتی به اختیارات مدیریتی نیاز دارد و در پیکربندی‌های پیش‌فرض به راحتی نمی‌توان از آن بهره‌برداری کرد، اما ممکن است پلاگین‌ها یا تم‌هایی وجود داشته باشند که به کاربرانی با اختیارات پایین‌تر (مانند سطح ویرایشگر و پایین‌تر) اجازه راه‌اندازی آن را می‌دهند.”

مجموعه Wordfence توضیح می‌دهد: «نسخه‌های آسیب‌پذیر وردپرس نتوانستند آرگومان محدود جستجوی بازیابی لینک را در فانکشن get_bookmarks که برای اطمینان از بازگشت تعداد معینی از پیوند‌ها استفاده می‌شود، با موفقیت پاکسازی کنند.

در پیکربندی پیش‌فرض، تنها ویجت قدیمی Links فانکشن را به گونه‌ای فراخوانی می‌کند که کاربر بتواند آرگومان حد را تنظیم کند. با این حال، به دلیل حفاظت در ویجت‌های قدیمی، این آسیب‌پذیری برای بهره‌برداری بی‌اهمیت است.

هر دو آسیب‌پذیری باقی‌مانده در وردپرس 6.0.2 باگ‌های اسکریپت‌نویسی متقابل سایت (XSS) با شدت متوسط ​​هستند که به دلیل استفاده از عملکرد «the_meta» و خطا‌های غیرفعال‌سازی و حذف افزونه ایجاد می‌شوند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای اسکریپت‌های تزریق شده در کلید‌ها و مقادیر پست یا کد جاوا اسکریپت در پیام‌هایی شود که هنگام غیرفعال شدن یا حذف افزونه‌ها به دلیل خطا نمایش داده می‌شوند.

به ادمین‌های وب‌سایت‌ها توصیه می‌شود در اسرع وقت نسخه‌های خود را به وردپرس 6.0.2 بروزرسانی کنند (بروزرسانی به طور خودکار به سایت‌هایی که از بروزرسانی‌های پس‌زمینه پشتیبانی می‌کنند ارائه می‌شود). تیم وردپرس خاطرنشان می‌کند که پچ‌ها به وردپرس 3.7 و نسخه‌های جدیدتر بکپورت شده‌اند.

بیشتر بخوانید
bpapir 10 شهریور, 1401 0 Comments
اخبار

مجموعه VMware و کارشناسان از کاربران می‌خواهند چندین محصول را که تحت تأثیر یک آسیب‌پذیری حیاتی بای پس احراز هویت قرار گرفته‌اند پچ کنند، که می‌تواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقص‌ها را بدهد.

به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری می‌شود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سه‌شنبه برای نقص‌هایی که به راحتی می‌تواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.

باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناک‌ترین عضو این آسیب‌پذیری‌ها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح می‌شود.

به گفته محققان، این امر هم‌اکنون به نیاز سازمان‌های آسیب‌دیده از این نقص برای اصلاح فوریت می‌بخشد.

کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در‌ ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیب‌پذیری‌های VMware را هدف قرار می‌دهند و proof-of-concept آینده، سازمان‌ها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهره‌برداری از این نقص این احتمال را ایجاد می‌کند که مهاجمان می‌توانند زنجیره‌های سواستفاده بسیار دردسرسازی را ایجاد کنند. »

پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیب‌پذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد.

طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر می‌گذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیب‌پذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، می‌تواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.

تیلیس مشاهده کرد، علاوه بر آن، این آسیب‌پذیری دروازه‌ای برای بهره‌برداری از سایر نقص‌های اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.

باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیب‌پذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه می‌دهد تا RCE را راه‌اندازی کند.

باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیب‌پذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.

شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبه‌بندی شده است. دو آسیب‌پذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) به‌عنوان مهم رتبه‌بندی شدند. یک آسیب‌پذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) به‌عنوان مهم رتبه‌بندی شده است. یک آسیب‌پذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط ​​رتبه‌بندی شده است. و یک آسیب‌پذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) به‌عنوان متوسط ​​رتبه‌بندی شده است.

پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچ‌ها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکه‌های سازمانی، از مشکلات امنیتی خود رنج می‌برد.

به عنوان مثال، در اواخر ژوئن، سازمان‌های فدرال درباره حمله مهاجمان به سرور‌های VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیب‌پذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهره‌برداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان به‌طور مستمر روی VMware و دیگر پلتفرم‌ها هدف قرار گرفته است.

در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقص‌های موجود را هدف قرار می‌دهند.

این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرال‌رزرو‌ها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفته‌ای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیب‌پذیری توسط فروشنده استفاده می‌کنند.

به گفته یک متخصص امنیتی، اگرچه همه نشانه‌ها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره می‌کنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیه‌ها توجه شود، این خطر در آینده به شکل قابل پیش‌بینی ادامه خواهد داشت.

گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکت‌ها در ابتدا تمایل دارند سریع‌ترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جا‌هایی را که مهاجمان می‌توانند از یک نقص سواستفاده کنند را فراموش می‌کنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته می‌شود.

«مهم‌ترین خطر برای شرکت‌ها سرعت اعمال پچ‌های حیاتی آن‌ها نیست. فیتزجرالد می‌گوید، این از اعمال نکردن پچ‌ها در هر زمینه ناشی می‌شود. واقعیت ساده این است که بیشتر سازمان‌ها در نگهداری موجودی دارایی‌های فناوری اطلاعات به‌روز و دقیق شکست می‌خورند، و دقیق‌ترین رویکرد برای مدیریت پچ نمی‌تواند تضمین کند که همه دارایی‌های سازمانی در نظر گرفته و حفظ می‌شوند.»

بیشتر بخوانید
bpapir 15 مرداد, 1401 0 Comments