محققان امنيت درباره حملات جديد مرتبط با Shellshock هشدار دادند، همانطوريکه شواهد نشان ميدهد، مهاجمين سايبري در حال گسترش سوء استفاده از ضعف امنيتي Bash Bug موجود در سيستم هاي UNIX و Linux ميباشند.
نخستين هشدار اعلام شده مربوط به حملاتي است که سرورهاي SMTP را مورد هدف قرار ميدهد و توسط شرکت Trend Micro تشخيص داده شد، دومين هشدار که توسط شرکت Akamai کشف گرديد مربوط به مهاجميني است که با استفاده ازآسيب پذيري Shellshock در سيستمهاي مبتني بر Unix/Linux به توليد ماشينهاي تحت کنترل (Botnet) شبکه مبادرت ميورزند.
در خلال اين اتفاقات، تيم پژوهشگران راهکارهاي امنيتي (SERT) خبري را منتشر کرد که نشان ميدهد مهاجمين با بيشترين سرعت در حال تغيير شيوههاي حمله بر پايه تهديد Shellshock ميباشند. بر اساس اين گزارش، تاکنون 67% از ترافيک شناسايي شده با شناسه Shellshock، مربوط به منابع شناخته شده ميباشد، اين بدان معناست که مهاجمان حملاتشان را با بهره برداري از آسيب پذيري Shellshock پايه ريزي نمودهاند و اينکه اين حملات 24 ساعت بعد از اولين اعلان خبر آسيب پذيري آغاز گرديد. مهاجمان در حال سوء استفاده از آسيب پذيري براي توليد و توسعه حملاتشان ميباشند. اين کمپين در مراحل اوليه کاوش و تست براي ثبت قربانيهاي آسيب فوق ميباشند.
به نظر ميرسد که حملات نشأت گرفته از اين آسيب پذيري در حال گسترش ميباشد و همانطور که بسياري از محققان پيشتر پيشبيني نمودند، بيشتر فعاليتهاي اخير از سوي مهاجمين توليد کنندهي سيستمهاي (Botnet) براي حملات DDoS ميباشد. جزئيات گزارش اخير شرکت Akamai نشان دهنده مخاطرات ناشي از حملات DDoS سرويس IRC با استفاده از آسيب پذيري Shellshock ميباشد.
بنا بر بررسيها و گزارشات شرکت Trend Micro، بيشتر ماشينهاي قرباني (Botnet) آسيب پذيري Shellshock با استفاده از سرويس IRC کنترل ميگردند. قربانيان در واقع ماشينهاي هستند که توسط تکنيک جديد در اين آسيبپذيري اقدام به بارگذاري فايل و اجرا آن ميکنند.
تحقيقات نشان ميدهد که مهاجمان براي نفوذ به سرورهاي SMTP از ايميل براي ارسال کد مخرب JST Perl Irc Bot با هدف تبديل قرباني به ماشين تحت کنترل استفاده ميکنند.
روش کار به اين صورت ميباشد، مهاجمان ايميلي عادي که حاوي کد مخرب در قسمتهاي موضوع، ارسال کننده، گيرنده و CC است، به سرور SMTP ارسال ميکنند. زمانيکه سرورهاي ايميل آسيب پذير پيامهاي مخرب را دريافت ميکنند، فايلهاي جاسازي شده شروع به اجرا شده و در سرور قرباني سرويس IRC بارگذاري و اجرا ميشود سپس تماسي از سرور قرباني با سرور کنترل کننده IRC برقرار ميشود و به اين طريق مهاجم مي تواند کنترل سرور ايميل را در دست بگيرد.
شرکت Trend Mark مي گويد: "حملات از راه پروتکل SMTP، عرصه ديگري را براي مهاجمان جهت بهره برداري از آسيب Shellshock فراهم ميآورد از اين رو پيشنهاد ما به راهبران فناوري اطلاعات، متوقف نمودن کليه IPها و Domainهاي مربوط به اين حملات ميباشد."
از آنجايي که اين حملات سير صعودي را طي مينمايد، شرکت Akamai سازمانها را به نصب وصله اصلاحي بر روي سيستمهايشان تشويق مينمايد و همچنين هشدار ميدهد که سهولت بهره برداري از اين ضعف امنيتي، شرايطي را به وجود آورده که به راحتي از سيستمهاي بدون وصله اصلاحي براي تکثير آسيب پذيري استفاده ميشود.
اريکا چيکووسکي در پوشش دهي فناوري اطلاعات و نوآوري تجاري تخصص داشته و به عنوان مشارکت کنندهاي در مجله Dark Readingدر اين زمينه بر روي امنيت اطلاعات تمرکز دارد.
منبع: www.darkreading.com/shellshock-attacks-stack-up/d/d-id/1317101?_mc=RSS_DR_EDT
