محققان شرکت ترندمیکرو هشدار دادند که بدافزار جدیدی که کشف شده، محصولات نظارتی شرکت AVTech را هدف قرار داده است. در ماه اکتبر سال ۲۰۱۶ یک آسیبپذیری در CGI این شرکت وجود داشت و بدافزار جدید از این آسیبپذیری بهرهبرداری میکند.
این بدافزار با نام ELF_IMEIJ.A در فهرست تروجانهای لینوکسی، آخرین بدافزاری است که دستگاههایی با معماری ARM را هدف قرار داده است. اخیراً شاهد هستیم که لینوکس بهعنوان بستری برای توسعهی دستگاههای اینترنت اشیاء انتخاب میشود و جای تعجب نیست که از این رو هدف مهاجمان سایبری قرار گرفته و حملات مختلفی بر روی آن در حال انجام است.
بدافزار جدید تلاش دارد دستگاههای AVTech را با بهرهبرداری از آسیبپذیری CGI که در پروندهی CloudSetup.cgi وجود دارد، آلوده کند. این آسیبپذیری بر روی تمام دستگاههای AVTech که از بستر اَبر این شرکت پشتیبانی میکنند، وجود دارد. محققان امنیتی توضیح دادند: «پارامتر exefile در پروندهی CloudSetup.cgi دستورات سامانهای که قرار است اجرا شوند را مشخص میکند. بهخاطر اینکه بررسی و اعتبارسنجی مناسبی بر روی این پارامتر وجود ندارد، مهاجم میتواند با امتیازات ویژه دستورات دلخواه خود را اجرا کند.» محققان میگویند با وجود اینکه آسیبپذیری در اکتبر سال ۲۰۱۶ کشف شده ولی این شرکت هنوز آن را وصله نکرده است.
بدافزار ELF_IMEIJ.A از طریق RFI ها در اسکریپت cgi-bin توزیع میشود. یک درخواست به سمت یک آدرس IP تصادفی ارسال میشود تا دستگاههای آسیبپذیر کشف شوند. در ادامه نیز بدافزار بر روی سامانهی هدف تزریق خواهد شد. کاربر باید متقاعد شود که پروندهی مخرب را واکشی کرده و مجوزهای آن را برای اجرا شدن تغییر دهد.
بهدلیل قابلیتهای منع سرویس توزیعشده که در این بدافزار وجود دارد با بدافزار Mirai مقایسه میشود ولی شیوهی عملکرد این دو بدافزار کاملاً از یکدیگر جداست. تروجان جدید تنها محصولات شرکت AVTech را هدف قرار میدهد و از درگاه ۳۹۹۹۹ استفاده میکند. این بدافزار تنها دستگاههایی را آلوده میکند که دارای اسکریپت ناامن cgi-bin هستند. این اسکریپت ناامن اجازهی نصب بدافزار را میدهد.
ترندمیکرو میگوید: «AVTech دارای بیش از ۱۳۰ هزار دستگاه متصل به اینترنت است و بدافزار میتواند با سازوکارهای ماندگاری بر روی این دستگاهها، دسترسی مداوم داشته باشد. این دستگاهها میتوانند به بات تبدیل شده و در حملات منع سرویس توزیعشده مورد استفاده قرار بگیرند.»
منبع: asis
درباره نماد امن
کانال اخبار فناوری اطلاعات نماد امن
“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.