آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) روز دوشنبه ۲۵ نوامبر ۲۰۲۴ در پی گزارشهایی مبنی بر بهرهبرداری فعال در سطح اینترنت، یک نقص امنیتی حیاتی وصله شده را که بر gatewayهای دسترسی امن Array Networks AG و vxAG تأثیر میگذارد، به فهرست آسیبپذیریهای شناختهشده مورد بهرهبرداری ([۱]KEV) اضافه کرد[۲].
این آسیبپذیری که بهعنوان CVE-2023-28461 شناسایی میشود[۳] (امتیاز ۹٫۸ در مقیاس CVSS)، مربوط به احراز هویت ازدسترفته است که میتواند برای دستیابی به اجرای کد دلخواه از راه دور مورد بهرهبرداری قرار گیرد. یک رفع نقص (نسخه ۹٫۴٫۰٫۴۸۴) برای این نقص امنیتی توسط این فروشنده سختافزار شبکه در مارس ۲۰۲۳ منتشر شد.
Array Networks گفت: «آسیبپذیری اجرای کد از راه دور Array AG/vxAG یک آسیبپذیری امنیتی وب است که به مهاجم اجازه میدهد تا فایل سیستم را مرور کند یا کد راه دور را در gateway VPN SSL با استفاده از ویژگی flags در هدر HTTP بدون احراز هویت اجرا کند. این محصول را میتوان از طریق یک URL آسیبپذیر مورد بهرهبرداری قرار داد.»
گنجاندن کاتالوگ KEV اندکی پسازآن صورت میگیرد که شرکت امنیت سایبری Trend Micro فاش کرد[۴] که یک گروه جاسوسی سایبری مرتبط با چین به نام Earth Kasha (معروف به MirrorFace) از نقایص امنیتی در محصولات شرکتهای عمومی مانند Array AG (CVE-2023-28461)، Proself (CVE-2023-45727) و Fortinet FortiOS/FortiProxy (CVE-2023-27997) برای دسترسی اولیه بهرهبرداری میکند.
Earth Kasha به دلیل هدف قرار دادن گسترده نهادهای ژاپنی شناخته شده است، اگرچه در سالهای اخیر، حمله به تایوان، هند و اروپا نیز مشاهده شده است.
در اوایل ماه نوامبر ۲۰۲۴، ESET همچنین یک کمپین Earth Kasha را فاش کرد[۵] که یک نهاد دیپلماتیک ناشناس در اتحادیه اروپا را هدف قرار داد تا یک درب پشتی معروف به ANEL را با استفاده از آن بهعنوان یک فریب در نمایشگاه جهانی آینده ۲۰۲۵ که قرار است در اوزاکای ژاپن از آوریل ۲۰۲۵ شروع شود، ارائه دهد.
با توجه به بهرهبرداری فعال، به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) توصیه میشود که این وصلهها را تا ۱۶ دسامبر ۲۰۲۴ برای ایمن کردن شبکههای خود اعمال کنند.
بر اساس گزارش VulnCheck، این افشاگری در حالی صورت میگیرد که ۱۵ گروه مختلف هک چینی از مجموع ۶۰ عامل تهدید نامبرده، با بهرهبرداری از حداقل یکی از ۱۵ آسیبپذیری اصلی مورد بهرهبرداری در سال ۲۰۲۳ مرتبط بودهاند[۶].
این شرکت امنیت سایبری گفت که بیش از ۴۴۰۰۰۰ میزبان در معرض اینترنت را شناسایی کرده است که بهطور بالقوه مستعد حملات هستند.
Patrick Garrity از VulnCheck گفت[۷]: «سازمانها باید قرار گرفتن خود در معرض این فناوریها را ارزیابی کنند، خطرات احتمالی را افزایش دهند، از اطلاعات قوی تهدید استفاده کنند، شیوههای مدیریت وصله قوی را حفظ کنند، و کنترلهای کاهشدهنده را اجرا کنند، مانند به حداقل رساندن قرار گرفتن در معرض اینترنت این دستگاهها در صورت امکان».
منابع
[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۲] https://www.cisa.gov/news-events/alerts/2024/11/25/cisa-adds-one-known-exploited-vulnerability-catalog
[۳] https://www.cve.org/CVERecord?id=CVE-2023-28461
[۴] https://thehackernews.com/2024/11/china-aligned-mirrorface-hackers-target.html
[۵] https://en.wikipedia.org/wiki/Expo_2025
[۶] https://thehackernews.com/2024/11/china-aligned-mirrorface-hackers-target.html
[۷] https://vulncheck.com/blog/cisa-top-exploited-2024
[۸] https://thehackernews.com/2024/11/cisa-urges-agencies-to-patch-critical.html
ثبت ديدگاه