هیچچیزی در این جهان کاملاً ایمن نیست، از مرزهای ما گرفته تا فضاهای مجازی. همه ما میدانیم که آسیبپذیریها خوب نیستند اما نکته قابل تأسف اینجاست که کاربران اهمیتی به وصله کردن دستگاههای خود نمیدهند.
در اواخر سال گذشته، گروه تحقیقات و هوش شرکت سیسکو به نام Talos سه آسیبپذیری اجرای کد از راه دور حیاتی را در Memcached کشف کرد که بسیاری از وبسایتها نظیر فیسبوک، تویتر، یوتیوب و Raddit را در معرض حمله مهاجمان قرار میداد[۱].
Memcached یک سیستم caching توزیع شده محبوب و منبع باز است که بهراحتی قابلگسترش بوده و به objectها اجازه میدهد تا در حافظه ذخیره شوند.
برنامه Memcached بهگونهای طراحی شده است که سرعت برنامه تحت وب دینامیکی (برای مثال وبسایتهای بر پایه php) را توسط کاهش فشار در پایگاه داده افزایش داده که این امر به مدیران کمک میکند تا کارایی برنامههای تحت وب را افزایش دهند.
در حال حاضر حدود ۸ ماه از زمانی که سازندگان Memcached وصلههای مربوط به سه آسیبپذیری اجرای کد از راه دورِ کشفشده را با نامهای CVE-2016-8704، CVE-2016-8705 و CVE-2016-8706 منتشر کردند، میگذرد اما دهها هزار سروری که برنامه memchached را اجرا میکنند همچنان به این آسیبپذیریها حساس هستند و به مهاجمان اجازه میدهند تا از راه دور اطلاعات حساس آنها را بدزدند.
محققان شرکت Talos یک جستجوی اینترنتی را در دو زمان متفاوت انجام دادند[۲]، یکی از این جستجوها در اواخر ماه فوریه ۲۰۱۷ انجام شده است و دیگری در ماه جولای ۲۰۱۷ و بهمنظور پیدا کردن تعداد سرورهایی که همچنان در حال اجرای برنامه Memcached آسیبپذیر هستند.
نتیجه این جستجوها بسیار جالب است.
نتیجه جستجوی ماه فوریه ۲۰۱۷:
تعداد سرورهای موجود در اینترنت: ۱۰۷٫۷۸۶ عدد
سرورهایی که همچنان آسیبپذیر هستند: ۸۵٫۱۲۱ عدد
سرورهایی که همچنان آسیبپذیر هستند اما نیاز به احراز هویت دارند: ۲۳٫۷۰۷ عدد
و ۵ کشوری که بیشترین تعداد سرورهای آسیبپذیر در آنها قرار داشت عبارتاند از آمریکا، چین، انگلستان، فرانسه و آلمان.
نتیجه جستجوی ماه جولای ۲۰۱۷:
تعداد سرورهای موجود در اینترنت: ۱۰۶٫۰۰۱ عدد
سرورهایی که همچنان آسیبپذیر هستند: ۷۳٫۴۰۳ عدد
سرورهایی که همچنان آسیبپذیر هستند اما نیاز به احراز هویت دارند: ۱۸٫۰۱۲ عدد
بعد از مقایسه نتایج دو جستجوی انجام شده، محققان دریافتند که فقط ۲٫۹۵۸ سرور از سرورهایی که در ماه فوریه آسیبپذیر بودند در ماه جولای وصله شده بودند. این در حالی است که بقیه سرورهای آسیبپذیر همچنان نسبت به حمله از راه دور آسیبپذیر هستند.
رخنههای اطلاعاتی و تهدیدات باجخواهی
این نادیدهگیری برای اعمال وصلهها از سوی سازمانها نگرانکننده است، چراکه محققان Talos هشدار دادهاند که این دستگاههای آسیبپذیر میتوانند بهراحتی مورد حملات از نوع باجگیر افزار قرار گیرند که مشابه این حملات را در ماه دسامبر ۲۰۱۶ و علیه پایگاه داده MangoDB شاهد بودیم[۳].
همچنین برخلاف MangoDB برنامه Memcached نوعی پایگاه داده نیست اما همچنان میتواند شامل اطلاعات حساس باشد و اختلال در دسترسی به اینگونه خدمات قطعاً منجر به اختلالات بیشتر در خدمات وابسته خواهد شد.
این آسیبپذیری در Memcached میتواند به مهاجمان اجازه دهد تا محتویات cached را با نوع cached مخرب جایگزین کنند تا بتوانند وبسایت موردنظر را Deface کنند، صفحات phishing را راهاندازی کنند، تهدیدات از نوع باجگیری را پیادهسازی کرده و لینکهای مخرب را بهمنظور hijack کردن دستگاه فرد قربانی بهکارگیرند و میلیونها کاربر را در معرض خطر قرار دهند.
محققان دراینباره میگویند: “با توجه به حملات بسیار زیاد از نوع worm که از آسیبپذیریها بهرهبرداری میکنند، مدیران سیستمها در سراسر جهان باید نسبت به این حملات هوشیار باشند. اگر این آسیبپذیریها جدی گرفته نشوند میتوانند مورد بهرهبرداری قرارگرفته تا بهطورجدی بر روی سازمانها و کسبوکارهای بزرگ در سراسر دنیا اثر گذارند. به مدیران سیستمها اکیداً توصیه میشود تا سیستمهایی که هنوز نسبت به این آسیبپذیری حساس هستند را هر چه سریعتر وصله کرده تا میزان حملات را کاهش دهند.”
به مشتریان و سازمانها توصیه میشود تا هرچه سریعتر وصلههای مربوط به Memcached را در یک محیط قابلاعتماد اعمال کنند چراکه مهاجمانی که در حال حاضر به سرورهای آسیبپذیر دسترسی دارند میتوانند از طریق شبکه به دیگر سرورهای متصل نیز دسترسی داشته باشند.
منابع
[۱] http://thehackernews.com/2016/11/memcached-hacking.html
[۲] http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html
[۳] http://thehackernews.com/2017/01/mongodb-database-security.html
[۴] http://thehackernews.com/2017/07/memcached-vulnerabilities.html
ثبت ديدگاه