ثغرات أمنية enemybot لاستهداف الروبوتات المستندة إلى Linux في خوادم الويب وخوادم Android

 

حاليًا ، تعمل شبكة الروبوتات الجديدة على توسيع نطاق وصولها بمساعدة التعليمات البرمجية التي تنشأ من أجزاء مختلفة من البرامج الضارة. تقوم الشركة بذلك عن طريق إضافة برمجيات إكسبلويت سريعًا للعديد من الثغرات التي تم تحديدها مؤخرًا في الأشياء التالية: -

  • خوادم الويب
  • أنظمة إدارة المحتوى
  • إنترنت الأشياء
  • أجهزة Android

اعتبارًا من مارس ، عندما ظهر آخر تحليل لشبكة الروبوتات ، اكتشف فريق بحث في Securonix هذه الروبوتات لأول مرة. 

بعد المزيد من الأبحاث التي أجرتها Securonix مؤخرًا في مارس ، اكتشفت Fortinet عينات جديدة منه في أبريل. حاليًا ، هناك أكثر من اثني عشر معمارية للرقاقة بها نقاط ضعف ، وهناك المزيد قيد العمل.

تحتوي شبكة الروبوتات هذه على العديد من الوحدات النمطية للبحث عن أهداف جديدة وإصابتها ، مما يسمح للبرامج الضارة بتنفيذ هجمات رفض الخدمة الموزعة.

في المراحل الأولى من الهجوم ، تضمنت الأهداف الأولى أجهزة التوجيه من Seowon Intech و D-Link و iRZ. علاوة على ذلك ، فقد تم التعرف على أن EnemyBot مرتبط بفاعل ضار يعرف باسم Keksec والذي يُعرف أيضًا باسم: -

  • الأمن كيك
  • نيكرو
  • خرج عن طوره

مكونات EnemyBot

العديد من شبكات الروبوت الأخرى ، بما في ذلك Mirai و Qbot و Zbot و Gafgyt و LolFMe ، هي أصول EnemyBot ، القادرة على شن هجمات DDoS. من حيث التركيب ، فإنه يتكون من أربعة مكونات ، كما يتضح من تحليل أحدث متغير.

هنا ذكرنا أدناه جميع المكونات الأربعة لـ EnemyBot: -

  • وحدة Python النمطية التي تقوم بتنزيل التبعيات وتجميع البرامج الضارة للأنظمة الأساسية المختلفة بناءً على البنية التي تشغل نظام التشغيل.
  • قسم الروبوتات الأساسية.
  • لتشفير وفك تشفير سلاسل البرامج الضارة ، يوجد جزء تشويش مصمم للقيام بذلك.
  • باستخدام ميزات القيادة والتحكم ، يمكن للمرء تلقي أوامر الهجوم والحصول على حمولات إضافية.

إضافة متغيرات جديدة

يتضمن EnemyBot عمليات استغلال لـ 24 نقطة ضعف في أحدث إصدار له. في أكثر من نصف هذه الحالات ، تكون الثغرة الأمنية حرجة ، ولكن هناك القليل منها لا يحتوي حتى على رقم مكافحة التطرف العنيف ، مما يجعل تصحيح الثغرة أكثر صعوبة.

اكتشفت AT&T Alien Labs ثغرات لمتغير جديد من حصان طروادة تم تحليله. تضمنت الثغرات الثغرات الأمنية التالية: -

  • CVE-2022-22954: عيب في تنفيذ التعليمات البرمجية عن بُعد يؤثر على برنامج VMware Workspace ONE Access و VMware Identity Manager.
  • CVE-2022-22947: عيب في تنفيذ التعليمات البرمجية عن بُعد في Spring.
  • CVE-2022-1388: خطأ في تنفيذ التعليمات البرمجية عن بُعد يؤثر على F5 BIG-IP ، ويهدد نقاط النهاية الضعيفة بالاستيلاء على الجهاز.

أمر RSHELL

يبدو أن إصدارًا جديدًا من البرنامج الضار يدعم مجموعة متنوعة من الأوامر ، ولكن تبرز RSHELL كواحدة من ميزاتها.


يمكن جعل النظام المصاب عرضة للخطر باستخدام هذا الأمر على نظام مصاب. يمكن لممثلي التهديد الوصول إلى الأنظمة المخترقة عن طريق تجاوز جدران الحماية بمساعدة هذا.

لم يكن من قبيل المصادفة أن يقوم المهاجمون بإصدار الكود المصدري لـ EnemyBot ، مما جعله متاحًا لأي شخص يريد استخدامه ضدهم.

التوصيات

هنا أدناه ذكرنا جميع التوصيات: -

  • تأكد من أن الأنظمة مصححة بالكامل وأنها ليست عرضة لـ RCE.
  • لتقليل احتمالية الاستغلال الخارجي ، يجب تطبيق تصحيحات البرامج الثابتة على جميع أجهزة إنترنت الأشياء.
  • باستخدام مراقبة واكتشاف شبكة الطبقة 7 ، يمكنك اكتشاف عمليات الاستغلال الشائعة و RCEs التي قد يتم استغلالها.
  • افصل مقاطع الشبكة الخارجية عن المضيفين الداخليين عن طريق التأكد من عدم وصول أجزاء الشبكة الخارجية إلى الأجهزة المضيفة الداخلية.
  • يجب تعطيل أدلة / tmp / في نظام التشغيل Linux أو تقييدها في التنفيذ.

0 تعليقات