پژوهشگران امنیتی هشدار میدهند در موج نخست حملات، هکرهای دولتی از یک آسیبپذیری Zero-Day در سرورهای شیرپوینت مایکروسافت بهرهبرداری کردهاند و نهادها و سازمانهای دولتی را هدف قرار دادهاند، اما اکنون هکرهای دیگری که لزوماً وابسته به دولتها نیستند هم ممکن است وارد عمل شوند و از این حفره امنیتی سوءاستفاده کنند.
۰
منبع : TechCrunch
به گزارش افتانا، در تعطیلات آخر هفته، آژانس امنیت سایبری و زیرساختهای آمریکا (CISA) هشدارنامهای منتشر و اعلام کرد که مهاجمان سایبری از یک آسیبپذیری ناشناخته روز صفر در نرمافزار مدیریت محتوای سازمانی مایکروسافت، یعنی شیرپوینت، سوءاستفاده میکنند. هرچند هنوز برای نتیجهگیری قطعی زود است، اما به گفته سیلاس کاتلر پژوهشگر ارشد شرکت Censys که فعالیت هکرها را در سطح اینترنت رصد میکند، به نظر میرسد مهاجمان اولیه، سازمانهای دولتی را هدف گرفتهاند.
کاتلر در این مورد گفت: به نظر میرسد در مراحل اولیه، سوءاستفاده از این آسیبپذیری محدود بوده و احتمالاً هدف اصلی نهادهای دولتی بودهاند. این موضوع خیلی سریع در حال گسترش است. بهرهبرداری اولیه محدود بوده، اما هرچه مهاجمان بیشتری روش نفوذ را یاد بگیرند، احتمالاً شاهد نقضهای امنیتی گستردهتری خواهیم بود.
کاتلر هشدار داد: حالا که این آسیبپذیری فاش شده، هکرهای دیگری که لزوماً وابسته به دولتها نیستند هم ممکن است وارد عمل شوند و از این حفره امنیتی سوءاستفاده کنند.
وی توضیح داد که او و همکارانش حدود 9هزار تا ۱۰هزار نمونه آسیبپذیر شیرپوینت را که مستقیماً از طریق اینترنت در دسترس هستند شناسایی کردهاند و این عدد ممکن است تغییر کند.
کاتلر تأکید کرد با توجه به تعداد محدود اهداف و ماهیت حساس آنها در ابتدای این حملات، احتمالاً این عملیات کار یک گروه APT (گروههای هک وابسته به دولتها) است.
شرکت آی سکیوریتی (Eye Security) که اولینبار وجود این آسیبپذیری را افشا کرد، گزارش داده که در اسکن بیش از هشتهزار سرور شیرپوینت در سراسر جهان، شواهدی از دهها سرور آلودهشده پیدا کرده است.
در حال حاضر بنابر اعلام رویترز، حدود ۱۰۰ سازمان دولتی و خصوصی در ایالات متحده و آلمان هدف قرار گرفتهاند و امکان دارد حملهکنندگان پشت این عملیات یک گروه هکری سازمانیافته باشند و برخی منابع میگویند بیش از ۱۰هزار سازمان در سطح جهانی از جمله دانشگاهها، نهادهای دولتی و شرکتهای بزرگ در معرض خطر هستند
روزنامه واشنگتن پست نیز روز یکشنبه گزارش داد که این حملات برخی نهادهای فدرال و ایالتی آمریکا، دانشگاهها و شرکتهای فعال در حوزه انرژی و سایر اهداف تجاری را هدف قرار دادهاند.
مایکروسافت در یک پست وبلاگی اعلام کرد این آسیبپذیری فقط نسخههای نصبشده On-Premises شیرپوینت را تحت تأثیر قرار میدهد و نسخههای ابری شیرپوینت در معرض این تهدید نیستند. این یعنی هر سازمانی که سرور شیرپوینت را روی شبکه داخلی خود نصب کرده باید فوراً وصله امنیتی را اعمال کند یا سرور را از اینترنت قطع کند تا از خطر نفوذ در امان باشد.
توصیه CISA و راهنماییهای مایکروسافت
- نصب فوری پچها برای نسخههای 2019 و Subscription Edition و بهروزرسانی نسخه 2016 به محض انتشار
- چرخش (Rotate) کلیدهای ASP.NET machine key و راهاندازی مجدد IIS پس از اعمال وصلهها
- فعالسازی AMSI (Antimalware Scan Interface) و استفاده از Defender AV و Defender for Endpoint بر روی سرورها
- قطع اتصال سرورهای آسیبپذیر از اینترنت تا زمان پچ کامل
- بازرسی دقیق برای فعالیتهای مشکوک و پیگیری لاگها، بهخصوص POST به /_layouts/15/ToolPane.aspx?DisplayMode=Edit و کلیدهای ریکاوری
در حال حاضر به کاربران SharePoint 2019 یا Subscription توصیه میشود که فوراً وصلههای منتشرشده ۲۰–۲۱ جولای سال جاری را نصب کنند و کاربران نسخه 2016 تا انتشار پچ رسمی از سوی مایکروسافت، سرور را از اینترنت قطع کرده و روتینهای امنیتی را تشدید کنند.
کد مطلب : 22945
https://aftana.ir/vdcbs9b5.rhb5apiuur.htmlaftana.ir/vdcbs9b5.rhb5apiuur.html
تگ ها
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵