محققان شرکت ترندمیکرو هشدار دادند که بدافزار جدیدی که کشف شده، محصولات نظارتی شرکت AVTech را هدف قرار داده است. در ماه اکتبر سال ۲۰۱۶ یک آسیب‌پذیری در CGI این شرکت وجود داشت و بدافزار جدید از این آسیب‌پذیری بهره‌برداری می‌کند.

این بدافزار با نام ELF_IMEIJ.A در فهرست تروجان‌های لینوکسی، آخرین بدافزاری است که دستگاه‌هایی با معماری ARM را هدف قرار داده است. اخیراً شاهد هستیم که لینوکس به‌عنوان بستری برای توسعه‌ی دستگاه‌های اینترنت اشیاء انتخاب می‌شود و جای تعجب نیست که از این رو هدف مهاجمان سایبری قرار گرفته و حملات مختلفی بر روی آن در حال انجام است.

بدافزار جدید تلاش دارد دستگاه‌های AVTech را با بهره‌برداری از آسیب‌پذیری CGI که در پرونده‌ی CloudSetup.cgi وجود دارد، آلوده کند. این آسیب‌پذیری بر روی تمام دستگاه‌های AVTech که از بستر اَبر این شرکت پشتیبانی می‌کنند، وجود دارد. محققان امنیتی توضیح دادند: «پارامتر exefile در پرونده‌ی CloudSetup.cgi دستورات سامانه‌ای که قرار است اجرا شوند را مشخص می‌کند. به‌خاطر اینکه بررسی و اعتبارسنجی مناسبی بر روی این پارامتر وجود ندارد، مهاجم می‌تواند با امتیازات ویژه دستورات دلخواه خود را اجرا کند.» محققان می‌گویند با وجود اینکه آسیب‌پذیری در اکتبر سال ۲۰۱۶ کشف شده ولی این شرکت هنوز آن را وصله نکرده است.

بدافزار ELF_IMEIJ.A از طریق RFI ها در اسکریپت cgi-bin توزیع می‌شود. یک درخواست به سمت یک آدرس IP تصادفی ارسال می‌شود تا دستگاه‌های آسیب‌پذیر کشف شوند. در ادامه نیز بدافزار بر روی سامانه‌ی هدف تزریق خواهد شد. کاربر باید متقاعد شود که پرونده‌ی مخرب را واکشی کرده و مجوزهای آن را برای اجرا شدن تغییر دهد.

به‌دلیل قابلیت‌های منع سرویس توزیع‌شده که در این بدافزار وجود دارد با بدافزار Mirai مقایسه می‌شود ولی شیوه‌ی عملکرد این دو بدافزار کاملاً از یکدیگر جداست. تروجان جدید تنها محصولات شرکت AVTech را هدف قرار می‌دهد و از درگاه ۳۹۹۹۹ استفاده می‌کند. این بدافزار تنها دستگاه‌هایی را آلوده می‌کند که دارای اسکریپت ناامن cgi-bin هستند. این اسکریپت ناامن اجازه‌ی نصب بدافزار را می‌دهد.

ترندمیکرو می‌گوید: «AVTech دارای بیش از ۱۳۰ هزار دستگاه متصل به اینترنت است و بدافزار می‌تواند با سازوکارهای ماندگاری بر روی این دستگاه‌ها، دسترسی مداوم داشته باشد. این دستگاه‌ها می‌توانند به بات تبدیل شده و در حملات منع سرویس توزیع‌شده مورد استفاده قرار بگیرند.»

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزاری با قابلیت حملات منع سرویس توزیع‌شده، محصولات AVTech را هدف قرار داده است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *