IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

FiveHands

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

حمله باج افزاری به تجهیزات پچ نشده EOL SonicWall SMA 100 VPN

takian.ir sonicwall

شرکت سازنده تجهیزات شبکه SonicWall به مشتریان در مورد یک کمپین باج افزار "قریب الوقوع" هشدار داده است. هدف این کمپین باج افزاری، محصولات Secure Mobile Access (SMA) سری 100 و محصولات Secure Remote Access (SRA) که با سیستم عامل پچ نشده و فریمور از رده خارج 8.x است.

این هشدار بعد از گذشت بیش از یک ماه پس از انتشار گزارشاتی مبنی بر بهره برداری از آسیب پذیری های دسترسی از راه دور در تجهیزات VPN SonicWall SRA 4600 (CVE-2019-7481) به عنوان مسیر دسترسی اولیه برای حملات باج افزاری نقض شبکه شرکت های سراسر جهان، اعلام شده است.

این شرکت افزود: "SonicWall از فعالیت عاملان تهدیدی که برای هدف قرار دادن محصولات Secure Mobile Access (SMA) 100 سری و Secure Remote Access (SRA) محصولات سخت افزاری پچ نشده و فریمور EOL 8.x از طریق یک کمپین باج افزاری قریب الوقوع و با بهره گیری از اعتبار نامه های به سرقت رفته اقدام کرده اند، کاملا آگاه است. این بهره برداری، آسیب پذیری از قبل شناخته شده ای را هدف قرار داده است که در نسخه های جدید فریمور پچ شده است".

به گزارش هکرنیوز، کمپانی SonicWall خاطرنشان كرده است که محصولات سری SMA 1000 تحت تأثیر این نقص قرار نگرفته اند و همچنین از مشاغل مختلف خواست كه فوراً د رهر حالت ممکن بروزرسانی فریمور خود را انجام داده، احراز هویت چند مرحله ای فعال کرده و یا از قطع اتصال وسایلی كه از شرایط end-of-life عبور کرده انند و نمی توانند به فریمور 9.x به روز شوند، اطمینان حاصل كنند.

این شرکت هشدار داد: "دستگاه های آسیب دیده با پایان عمر فریمور 8.x فعلا خطر را به طور موقت از سر گذرانده؛ اما ادامه استفاده از این فریمور یا دستگاه های با پایان عمر، یک خطر امنیتی فعال و بالفعل را به همراه دارد.". به راستای کاهش مخاطرات، SonicWall همچنین به مشتریان توصیه کرده است تمام گذرواژه های مرتبط با دستگاه SMA یا SRA و همچنین هر دستگاه یا سیستم دیگری را که ممکن است از اعتبارنامه مشابه استفاده کنند، تغییر دهند.

این همچنین چهارمین باری است که دستگاه های SonicWall به عنوان مسیری برای حملات بزرگ‌ و پرسود (برای مهاجمین) ظاهر می شوند، عاملان تهدید با سواستفاده از نقایصی که قبلاً فاش نشده بودند، بدافزار را مستقر کرده و در شبکه های هدف خود قرار گرفته اند و این موضوع را به جدیدترین سوژه ای تبدیل کرده اند که این شرکت در ماه های اخیر با آن دست و پنجه نرم کرده است.

در ماه آوریل، FireEye Mandiant فاش کرد که یک گروه هک ردیابی شده به عنوان UNC2447، از نقص روز صفر روز در تجهیزات SonicWall VPN (CVE-2021-20016) قبل از اینکه توسط این شرکت پچ شود، استفاده می کردند تا نوع جدیدی از باج افزار به نام FIVEHANDS را در شبکه های نهادها و سازمان هایی در آمریکای شمالی و اروپا مستقر نمایند.

نقص رفع نشده SonicWall VPN و حملات روز صفر

 

یک آسیب پذیری بحرانی و حیاتی در تجهیزات مرتبط با Sonicwall VPN که تصور میشد در سال گذشته پچ شده است، در حال حاضر و با توجه به اینکه این شرکت این نقص نشت حافظه را رفع نکرده، به عنوان یک خرابکاری و خطای بزرگ سر برآورده است. تا به اکنون، این نقص اجازه دسترسی به اطلاعات حساس برای مهاجم از راه دور فراهم می آورد.

در 22 ماه ژوئن (روز گذشته)، این نقص در پی یک بروزرسانی برای Sonicos Rundified، اصلاح شد.

نقصی که تحت عنوان CVE-2021-20019 و با نمره CVSS برابر 5.3 از آن یاد شده است، آسیب پذیری ای است که نتیجه نشت حافظه در هنگام ارسال یک درخواست HTTP غیر مجاز میباشد که به طور خاص ساخته شده است، که به طبع از طریق افشای اطلاعات به دست می آید.

لازم به ذکر است که تصمیم Sonicwall برای متوقف کردن پچی که در میان افشای چند باره روز-صفر، بر روی دسترسی از راه دور VPN و محصولات امنیتی ایمیل که در یک سری از حملات بسیار شدید به منظور اجرای Backdoor و نیز یک باج اقزار جدید با نام FIVEHANDS مورد سوء استفاده قرار گرفته اند، بسیار تاثیر گذار است.

هرچند هیچ شواهدی مبنی بر اینکه این نقص در فضای سایبری مورد سوءاستفاده قرار گرفته باشد، وجود ندارد.

takian.ir sonicwall left vpn flaw partially unpatched

 

مجموعه Sonicwall اعلام کرد: "فایروال های فیزیکی و مجازی Sonicwall که در حال اجرا نسخه های بخصوصی از SonicOS هستند، ممکن است حاوی این آسیب پذیری که در پی آن پاسخ HTTP سرور از حافظه جزئی نشت می کند، باشند. این مسئله به طور بالقوه می تواند به آسیب پذیری افشای اطلاعات حساس داخلی منجر شود".

نقص اصلی، شناسایی شده با عنوان CVE-2020-5135 و با نمره CVSS برابر 9.4، مربوط به آسیب پذیری سرریز بافر در SonicOS  میباشد که می تواند مهاجم از راه دور را قادر به ایجاد Denial-of-Service یا DoS  و به طور بالقوه اجرای کد دلخواه با ارسال درخواست مخرب به فایروال، نماید.

در حالی که Sonicwall در اکتبر سال 2020 یک پچ را ارائه کرد، اما آزمایش های بیشتری که توسط شرکت سایبری تریپ وایر انجام شده است، یک نشت حافظه را به گفته پژوهشگر امنیتی کرگ یانگ، که مشکل جدید Sonicwall را در 6 اکتبر 2020 گزارش کرد، با عنوان "ماحصل یک اصلاح نامناسب برایCVE-2020-5155" نشان داده است.

یانگ در روز سه شنبه اشاره کرد: "در حد یک یا دو خط کد نویسی رفع مشکل با حداقل میزان تاثیر، من انتظار داشتم که یک پچ احتمالا به سرعت بیرون می آید، اما ما به سرعت به ماه مارس نزدیک میشویم و هنوز هیچ خبری از آن شنیده نشده است. من مجددا به PSIRT آنها در تاریخ 1 ماه مارس 2021 برای بروزرسانی متصل شدم، اما در نهایت تا ماه ژوئن و قبل از آن زمانی که مشاوره امنیتی میتوانست منتشر شود، همه چیز خوب پیش رفت".