سوءاستفاده گروه‌های باج‌افزاری از آسیب‌پذیری‌های کلئو و سایبرپنل

به گزارش کارگروه امنیت خبرگزاری سایبربان، در دو هفته گذشته، آژانس امنیت سایبری و زیرساخت (CISA) اقدام به اعلام رسمی کرده که عوامل باج‌افزاری از این آسیب‌پذیری‌های خاص سوءاستفاده کرده و دستور داده است که سازمان‌های دولتی فوراً این دو آسیب‌پذیری را برطرف کنند.

روز جمعه، این آژانس اعلام کرد که سازمان‌های فدرال غیرنظامی تا 3 ژانویه فرصت دارند تا آسیب‌پذیری CVE-2024-50623 را برطرف کنند.

این آسیب‌پذیری باعث نگرانی گسترده‌ای در میان کارشناسان امنیت سایبری شده است، زیرا بر یک محصول اشتراک فایل پرکاربرد از شرکت نرم‌افزاری کلئو (Cleo) تأثیر می‌گذارد.

این آسیب‌پذیری سه محصول اشتراک فایل را تحت تأثیر قرار می‌دهد؛ کلئو هارمونی (Cleo Harmony)، وی ال تریدر (VLTrader) و لکسی کام (LexiCom). کلئو هارمونی و وی ال تریدر برای اشتراک فایل‌های حجیم و نیازهای سازمانی طراحی شده‌اند، در حالی که لکسی کام یک راه‌حل سبک‌تر است که اغلب توسط سازمان‌های کوچک برای ارسال فایل‌ها استفاده می‌شود.

شرکت‌های امنیت سایبری گزارش داده‌اند که ده‌ها مشتری از طریق این آسیب‌پذیری دچار نفوذ شده‌اند.

این آسیب‌پذیری در ابتدا توسط کلئو در ماه اکتبر رفع شد، اما هفته گذشته محققان دریافتند که این بروزرسانی ناکارآمد بوده و هکرها که برخی از آن‌ها ظاهراً عضو گروه باج‌افزاری ترمایت (Termite) نیز هستند، از تاریخ 7 دسامبر در حال سوءاستفاده از آن بوده‌اند.

محققان یک خانواده جدید از بدافزار را کشف کرده‌اند که در این حملات استفاده می‌شود.

قربانیان عمدتاً از صنایع محصولات مصرفی، حمل‌ونقل و زنجیره تأمین خرده‌فروشی بوده‌اند.

علاوه بر این آسیب‌پذیری کلئو، آژانس امنیت سایبری و زیرساخت نه روز پیش یک آسیب‌پذیری دیگر را به فهرست آسیب‌پذیری‌های مورد سوءاستفاده اضافه کرد که اعلام شد گروه‌های باج‌افزاری از آن بهره‌برداری می‌کنند.

این آژانس به سازمان‌های فدرال غیرنظامی دستور داده تا آسیب‌پذیریCVE-2024-51378  که بر یکی از محصولات شرکت نرم‌افزاری سایبر پنل (CyberPanel) تأثیر می‌گذارد را تا روز کریسمس برطرف کنند.

محصولات سایبر پنل به کاربران امکان مدیریت وب‌سایت‌ها، دامنه‌ها، ایمیل‌ها و سایر ویژگی‌های هاستینگ روی سرور لینوکس را می‌دهند.

سازمان‌ها معمولاً از سایبر پنل برای مدیریت هاست وب، مدیریت ایمیل، مدیریت پایگاه داده و میزبانی وردپرس استفاده می‌کنند.

کارشناسان هشدار داده‌اند که عوامل مخرب توانسته‌اند چندین نمونه از سایبر پنل را آلوده کنند، به‌ویژه پس از انتشار جزئیات فنی این آسیب‌پذیری در اواخر اکتبر.

اسکات کاوزا، مهندس پژوهشی در شرکت تنیبل (Tenable)، اعلام کرد که یک مخزن گیتهاب (GitHub) نشان می‌دهد که حداقل سه نوع باج‌افزار در نمونه‌های آلوده سایبر پنل یافت شده‌اند: نسخه‌ای از باج‌افزار بابوک (Babuk)، نسخه‌ای از باج‌افزار سربر (Cerber)، و باج‌افزار پیساکس (PSAUX).

در اکتبر، وب‌سایت بلیوینگ کامپیوتر (BleepingComputer) گزارش داد که بیش از 22 هزار نمونه از سایبر پنل در حمله باج‌افزاری پیساکس هدف قرار گرفته‌اند که تقریباً تمام آن‌ها از کار افتاده‌اند.

مایک والترز، یکی از بنیان‌گذاران شرکت امنیت سایبری اکشن وان (Action1)، اعلام کرد که عوامل باج‌افزاری پیساکس از زمان ظهور در ژوئن، سرورهای وب را از طریق آسیب‌پذیری‌هایی مانند آنچه در سایبر پنل وجود دارد هدف قرار داده و از کاربران سایبر پنل خواست که هرچه زودتر به آخرین نسخه موجود در گیتهاب به‌روزرسانی کنند.

آژانس امنیت سایبری و زیرساخت از اکتبر 2023 شروع به اضافه کردن اطلاعاتی به فهرست خود کرده که نشان می‌دهد آیا گروه‌های باج‌افزاری از یک آسیب‌پذیری سوءاستفاده می‌کنند یا خیر.

پیش از این، این اطلاعات از طریق برنامه هشدار آسیب‌پذیری‌های باج‌افزار (RVWP) فقط با سازمان‌ها به اشتراک گذاشته می‌شد.

این اقدام با هدف تشویق سازمان‌ها به برطرف کردن آسیب‌پذیری‌ها انجام شده است.

با این حال، این اطلاعات به‌ندرت ارائه شده و به‌جز در چند مورد نادر، در فرم‌های توصیف آسیب‌پذیری‌ها، ستون "آیا در کمپین‌های باج‌افزار استفاده شده است؟" معمولاً به‌صورت "نامعلوم" باقی مانده است.

اضافه شدن دو آسیب‌پذیری که تأیید شده که توسط عوامل باج‌افزاری مورد سوءاستفاده قرار گرفته‌اند، برای کارشناسان امنیت سایبری قابل توجه بود.

کاوزا در مورد آسیب‌پذیری سایبر پنل اظهار کرد:

در حالی که معمولاً آسیب‌پذیری‌های فهرست KEV توسط آژانس امنیت سایبری و زیرساخت به گروه‌های باج‌افزاری نسبت داده نمی‌شوند، اما در این مورد شواهد کافی وجود دارد که نشان می‌دهد مهاجمان فرصت‌طلب متعددی این آسیب‌پذیری را با چندین گونه باج‌افزار هدف قرار داده‌اند.