یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

 

محققان امنیت سایبری یک برنامه Backdoor جدید را شناسایی کرده اند که قادر به سرقت اطلاعات ورودی کاربر، اطلاعات دستگاه و اجرای دستورات دلخواه در سیستم های لینوکس است.

این عامل بدافزاری به دلیل قابلیت های خود برای ارائه روت کیت های مختلف در زمان های مختلف و استفاده از رمزنگاری Blowfish برای رمزگذاری ارتباطات به سرور تحت کنترل مهاجم، توسط Qihoo 360 نت لب با عنوان "Facefish" لقب گرفته است.

به گفته محققان: "Facefish از 2 قسمت Dropper و Rootkit تشکیل شده است و عملکرد اصلی آن توسط ماژول Rootkit تعیین می شود، که در ی حلقه سه لایه کار می کند و با استفاده از ویژگی LD_PRELOAD بارگیری می شود تا با ورود به سیستم، توابع مربوط به پروگرم ssh/sshd، اعتبارنامه ورود به سیستم کاربر را بدزدد. لازم به ذکر است که این بدافزار همچنین برخی از عملکردهای بک دور را پشتیبانی کرده و ارائه میکند".

به گزارش هکر نیوز، تحقیقات نت لب بر اساس تجزیه و تحلیل های قبلی که توسط جونیپر نتورکز در تاریخ 26 ماه آوریل انجام شده بود، منتشر شده است، که زنجیره حمله برای هدف قرار دادن کنترل پنل وب (CWP ، پنل سابق CentOS Web) برای تزریق ایمپلنت SSH با قابلیت اکسفیلتریشن داده ها را مستندسازی کرده است.

Facefish یک فرآیند آلودگی چند مرحله ای را طی می کند، که با تزریق دستور CWP برای بازیابی دراپر ("sshins") از یک سرور از راه دور آغاز می شود؛ سپس یک rootkit به دستگاه منتقل می شود که علاوه بر اینکه منتظر دستورالعمل های دیگری که توسط سرور command-and-control (C2) صادر شده است، میماند؛ در نهایت کار جمع آوری و انتقال اطلاعات حساس به سرور را نیز انجام میدهد.

 

در حالی که مشخص نیست که دقیقا این آسیب پذیری مورد سوءاستفاده مهاجم برای اولین موارد به خطر انداختن کاربران استفاده شده است یا خیر، اما جونیپر خاطرنشان کرد که CWP از ده ها مورد از مشکلات امنیتی رنج می برد و افزودن رمزگذاری و پنهان سازی عمدی کد منبع، تشخیص اینکه کدام نسخه از CWP آسیب پذیر بوده یا در برابر این حمله آسیب پذیر باقی مانده است را دشوار کرده است.

به نوبه خود، دراپر با مجموعه ای از وظایف مختص خود همراه است که از جمله مهمترین آنها می توان به شناسایی زمان اجرا و فعالیت محیط کاربر، رمزگشایی فایل پیکربندی برای دریافت اطلاعات C2، پیکربندی rootkit و شروع rootkit با تزریق آن به پروسس سرور امن shell (sshd) اشاره کرد.

روت کیت ها به خودی خود خطرناک هستند زیرا به مهاجمان اجازه می دهند اختیارات زیادی را در سیستم به دست آورند و همچنین به آنها اجازه می دهد در عملیات های اصلی انجام شده توسط سیستم عامل اصلی نفوذ و دخالت کنند. این توانایی روت کیت ها برای استتار در ساختار سیستم عامل، امکان گسترده ای برای پنهان کاری به مهاجمان می دهد.

Facefish همچنین از یک پروتکل ارتباطی پیچیده و الگوریتم رمزنگاری استفاده می کند و از دستورالعمل هایی با 0x2XX شروع میشوند برای تبادل کلیدهای عمومی و BlowFish برای رمزگذاری داده های ارتباطی با سرور C2 استفاده می کنند. برخی از دستورات C2 ارسال شده توسط سرور به شرح زیر هستند:

• 0x300 – ارسال گزارش اطلاعات اعتبارنامه سرقت شده
• 0x301 - جمع آوری جزئیات دستور "uname"
• 0x302 – اجرای shell معکوس
• 0x310 – اجرای هر نوع دستور سیستمی
• 0x311 - ارسال نتیجه اجرای bash
• 0x312 - گزارش اطلاعات میزبان

یافته های نت لب از تجزیه و تحلیل یک پرونده نمونه ELF است که در فوریه 2021 کشف شده، نشات گرفته است. سایر شاخص های سازش در ارتباط با بدافزار را می توان با یک جستجوی ساده مشاهده کرد.