ارتباط حمله باج‌افزاری به سیستم پرداخت هند به باگ جنکینز

به گزارش کارگروه امنیت خبرگزاری سایبربان، شرکت جونیپر نتوورکس (Juniper Networks)، این هفته مطالعه‌ای را منتشر کرد که چگونگی سوءاستفاده مهاجمان از آسیب پذیری CVE-2024-23897، یک آسیب‌پذیری در رابط خط فرمان جنکینز (Jenkins) که به توسعه‌دهندگان کمک می‌کند با سیستم تعامل کنند، را تجزیه و تحلیل می‌کند.

در تاریخ 31 ژوئیه، شرکت ملی پرداخت‌های هند (NPCI)، که سازمانی فراگیر برای تمام سیستم‌های پرداخت خرده‌فروشی در هند است، اعلام کرد که در حال رسیدگی به اختلالی ناشی از یک حمله باج‌افزاری به یک تأمین‌کننده فناوری ثالث است.

تأمین‌کننده فناوری، شرکت فناوری سی-اج (C-Edge Technologies)، به بانک‌های منطقه‌ای روستایی خدمت می‌کند و به منظور محدود کردن آثار این حمله، شرکت ملی پرداخت‌های هند این شرکت را از دسترسی به سیستم‌های پرداخت خرده‌فروشی که توسط شرکت ملی پرداخت‌های هند اداره می‌شود، جدا کرد.

مشتریان سی-اج قادر به دسترسی به سیستم‌های پرداخت نبودند تا اقدامات بازیابی آغاز شود.

خدمات یک روز بعد بازیابی شد، اما گروه باج‌افزاری رنسوم ای اکس اکس (RansomEXX) در نهایت هفته گذشته مسئولیت حمله را بر عهده گرفت و در سایت افشای خود نوشت که 142 گیگابایت از یک پلتفرم پرداخت دیجیتال متصل به سی-اج را دزدیده است.

جونیپر نتوورکس گزارش شرکت ملی پرداخت‌های هند که به تیم پاسخ به بحران رایانه‌ای هند ارسال شده بود را تجزیه و تحلیل کرد.

محققان بیان کردند که این حمله نشان‌دهنده نیاز به به‌کارگیری به‌روزرسانی‌های امنیتی به محض انتشار و رفع پیکربندی‌های نادرست سرورها برای جلوگیری از سوءاستفاده از آسیب‌پذیری‌ها است.

جنکینز به توسعه‌دهندگان اجازه می‌دهد نرم‌افزار را بسازند، تست کنند و مستقر کنند، و آسیب‌پذیری به مهاجمان اجازه می‌دهد به فایل‌ها یا داده‌های حساس دسترسی پیدا کنند.

آسیب پذیری CVE-2024-23897 توسط سونار سورس (SonarSource) در نوامبر گذشته کشف شد و این شرکت به جنکینز کمک کرد تا اصلاحیه آن را که در ژانویه منتشر شد، تأیید کند.

پس از انتشار یک اثبات مفهوم از حمله، محققان بلافاصله شروع به مشاهده تلاش‌های حمله کردند و اشاره کردند که این باگ به مهاجمان اجازه می‌دهد تا سرورهای جنکینز که اصلاح نشده‌اند را تصرف کنند.

این آسیب‌پذیری زنگ خطر را در جامعه امنیت سایبری در اوایل امسال به صدا درآورد به دلیل اینکه جنکینز به‌طور گسترده‌ای مستقر است.

ده‌ها هزار سرور عمومی جنکینز وجود دارد و ناوین سونکاوالی، معمار ارشد در Horizon3.ai، متذکر شد که جنکینز هدف رایج مهاجمان است زیرا معمولاً برای ذخیره حجم زیادی از اطلاعات حساس و اعتبارنامه‌ها به سایر سیستم‌ها استفاده می‌شود.

سونکاوالی در ادامه افزود:

یک مهاجم بدون امتیازات قبلی تنها در صورتی می‌تواند از این آسیب‌پذیری سوءاستفاده کند که سرور جنکینز به‌طور نادرست از تنظیمات پیش‌فرض پیکربندی شده باشد، یا مهاجم حساب کاربری یک کاربر معتبر جنکینز را به خطر بیندازد. بهره‌برداری بیشتر که منجر به تصرف سرور و تخلیه اعتبارنامه‌ها می‌شود، ممکن است اما شامل عواملی است که در کنترل مهاجم نیست.

او اشاره کرد که چهار آسیب‌پذیری قبلی مرتبط با جنکینز در فهرست آسیب‌پذیری‌های شناخته شده سایبری و امنیت زیرساخت‌های امنیتی وجود دارد و چندین مورد قبلاً برای نصب ماینرهای کریپتو یا تسهیل حملات دولتی استفاده شده‌اند.

چندین محقق، از جمله تحلیل‌گر تهدیدات سایبری کریتیکال استارت (Critical Start)، سارا جونز، در ژانویه هشدار دادند که این آسیب‌پذیری به هکرها اجازه می‌دهد که حجم‌های زیادی از داده‌های حساس را دزدیده یا کنترل کامل زیرساخت‌های یک سازمان را به‌دست آورند.

او در پایان عنوان کرد:

فراتر از این تهدیدات فوری، چنین حوادثی می‌تواند آسیب‌های دائمی به شهرت یک سازمان وارد کند، اعتماد را تضعیف کند، بر ثبات مالی تأثیر بگذارد و حتی منجر به عواقب قانونی شود.