مورد بهره‌برداری قرار گرفتن نقص موجود در وب‌کم‌های لنوو مبتنی بر لینوکس، برای حملات از راه دور BadUSB

محققان امنیت سایبری، آسیب‌پذیری‌هایی را در مدل‌های منتخب وب‌کم‌های لنوو افشا کرده‌اند که می‌تواند آن‌ها را به دستگاه‌های حمله BadUSB تبدیل کند.

پل آسادوریان، میکی شکاتوف و جسی مایکل، محققان Eclypsium، در گزارشی که با The Hacker News به اشتراک گذاشته شد، گفتند[۱]: «این امر به مهاجمان از راه دور اجازه می‌دهد تا به‌طور مخفیانه فشردن کلید را تزریق کرده و حملاتی را مستقل از سیستم‌عامل میزبان انجام دهند.»

این آسیب‌پذیری‌ها توسط شرکت امنیتی Firmware با نام BadCam نام‌گذاری شده‌اند. این یافته‌ها امروز در اجلاس امنیتی DEF CON 33 ارائه شد[۲].

این پیشرفت احتمالاً اولین باری است که نشان داده شده است که عاملان تهدیدی که کنترل یک وسیله جانبی USB مبتنی بر لینوکس را که از قبل به یک کامپیوتر متصل است، به دست می‌آورند، می‌توانند برای اهداف مخرب مورداستفاده قرار گیرند.

در یک سناریوی حمله فرضی، یک دشمن می‌تواند از این آسیب‌پذیری برای ارسال یک وب‌کم دارای در پشتی به قربانی استفاده کند یا در صورت امکان دسترسی فیزیکی، آن را به یک کامپیوتر متصل کند و از راه دور دستوراتی را برای به خطر انداختن یک کامپیوتر به‌منظور انجام فعالیت‌های پس از بهره‌برداری صادر کند.

[۳]BadUSB که اولین بار بیش از یک دهه پیش توسط محققان امنیتی، کارستن نول و یاکوب لل، در اجلاس بلک هت ۲۰۱۴ نشان داده شد[۴]، حمله‌ای[۵] است که از یک آسیب‌پذیری ذاتی در میان‌افزار USB بهره‌برداری می‌کند و اساساً آن را برای اجرای مخفیانه دستورات یا اجرای برنامه‌های مخرب بر روی رایانه قربانی، دوباره برنامه‌ریزی می‌کند.

ایوانتی در توضیح این تهدید که اواخر ماه گذشته منتشر شد، خاطرنشان می‌کند[۶]: “برخلاف بدافزارهای سنتی که در سیستم فایل قرار دارند و اغلب توسط ابزارهای آنتی‌ویروس قابل‌شناسایی هستند، BadUSB در لایه میان‌افزار قرار دارد. پس از اتصال به رایانه، یک دستگاه BadUSB می‌تواند: یک صفحه‌کلید را برای تایپ دستورات مخرب شبیه‌سازی کند، درهای پشتی یا کی‌لاگرها را نصب کند، ترافیک اینترنت را تغییر مسیر دهد و [و] داده‌های حساس را استخراج کند.”

در سال‌های اخیر، Mandiant متعلق به گوگل و اداره تحقیقات فدرال ایالات‌متحده (FBI) هشدار داده‌اند[۷] که گروه تهدید با انگیزه مالی که به‌عنوان [۸]FIN7 ردیابی می‌شود، به ارسال ایمیل به سازمان‌های مستقر در ایالات‌متحده با دستگاه‌های USB مخرب “BadUSB” برای ارائه[۹] بدافزاری به نام DICELOADER متوسل شده است[۱۰].

آخرین کشف Eclypsium نشان می‌دهد که یک وسیله جانبی مبتنی بر USB، مانند وب‌کم‌های دارای سیستم‌عامل لینوکس، که در ابتدا قرار نبود مخرب باشد، می‌تواند به عاملی برای حمله BadUSB تبدیل شود و این نشان‌دهنده یک افزایش قابل‌توجه است. به‌طور خاص، مشخص شده است که چنین دستگاه‌هایی می‌توانند از راه دور ربوده شده و بدون اینکه از نظر فیزیکی جدا یا جایگزین شوند، به دستگاه‌های BadUSB تبدیل شوند.

محققان توضیح دادند: “مهاجمی که به اجرای کد از راه دور در یک سیستم دسترسی پیدا می‌کند، می‌تواند سیستم‌عامل یک وب‌کم متصل به لینوکس را مجدداً فلش کند و آن را به‌عنوان یک HID مخرب یا برای شبیه‌سازی دستگاه‌های USB اضافی به کار گیرد.”

“پس از مسلح شدن، وب‌کم به ظاهر بی‌ضرر می‌تواند کلیدهای فشرده‌شده را تزریق کند، بارهای مخرب را ارسال کند یا به‌عنوان پایه‌ای برای ماندگاری عمیق‌تر عمل کند، درحالی‌که ظاهر بیرونی و عملکرد اصلی یک دوربین استاندارد را حفظ می‌کند.”

علاوه بر این، بازیگران تهدید با توانایی تغییر سیستم‌عامل وب‌کم می‌توانند به سطح بالاتری از ماندگاری دست یابند و به آن‌ها اجازه دهند حتی پس از پاک شدن و نصب مجدد سیستم‌عامل، کامپیوتر قربانی را دوباره با بدافزار آلوده کنند.

آسیب‌پذیری‌های کشف‌شده در وب‌کم‌های Lenovo 510 FHD و Lenovo Performance FHD مربوط به نحوه‌ی اعتبارسنجی نشدن میان‌افزار توسط این دستگاه‌ها است[۱۱] که درنتیجه، با توجه به اینکه این دستگاه‌ها لینوکس را با پشتیبانی از USB Gadget اجرا می‌کنند، مستعد به خطر افتادن کامل نرم‌افزار دوربین از طریق حملات به سبک BadUSB هستند.

پس از افشای مسئولانه با Lenovo در آوریل ۲۰۲۵، این تولیدکننده‌ی کامپیوتر شخصی به‌روزرسانی‌های میان‌افزار (نسخه ۴٫۸٫۰) را برای کاهش آسیب‌پذیری‌ها منتشر کرده و با شرکت چینی SigmaStar برای انتشار ابزاری که این مشکل را برطرف می‌کند، همکاری کرده است.

Eclypsium گفت: “این حمله‌ی بی‌سابقه، یک بردار ظریف اما عمیقاً مشکل‌ساز را برجسته می‌کند: رایانه‌های سازمانی و مصرفی اغلب به لوازم جانبی داخلی و خارجی خود اعتماد می‌کنند، حتی زمانی که این لوازم جانبی قادر به اجرای سیستم‌عامل‌های خود و پذیرش دستورالعمل‌های از راه دور هستند.”

“در زمینه‌ی وب‌کم‌های لینوکس، میان‌افزار امضا نشده یا ضعیف به مهاجم اجازه می‌دهد نه‌تنها میزبان، بلکه هر میزبان آینده‌ای را که دوربین به آن متصل می‌شود، خراب کند، آلودگی را منتشر کند و کنترل‌های سنتی را دور بزند.”

منابع

[۱] https://eclypsium.com/blog/badcam-now-weaponizing-linux-webcams

[۲] https://defcon.org/html/defcon-33/dc-33-speakers.html#content_60343

[۳] https://thehackernews.com/2014/10/badusb-malware-code-released-turn-usb.html

[۴] https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil

[۵] https://ieeexplore.ieee.org/document/7907004

[۶] https://www.ivanti.com/blog/what-is-badusb

[۷] https://www.umaryland.edu/media/umb/cits/security/MU-000160-MW.pdf

[۸] https://www.fbi.gov/contact-us/field-offices/seattle/news/stories/how-cyber-crime-group-fin7-attacked-and-stole-data-from-hundreds-of-us-companies

[۹] https://thehackernews.com/2024/02/new-mispadu-banking-trojan-exploiting.html

[۱۰] https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card

[۱۱] https://support.lenovo.com/us/en/accessories/acc500235-lenovo-510-fhd-webcam-overview-and-service-parts