كيف تكتشف الجهات الفاعلة في مجال التهديد نقاط الضعف وتستغلها في البرية؟

 

في الماضي القريب، تم اكتشاف العديد من الثغرات الأمنية في منتجات البرامج المستخدمة على نطاق واسع. نظرًا لأن هذه المنتجات مثبتة على عدد كبير من الأجهزة المتصلة بالإنترنت، فإنها تغري الجهات الفاعلة في مجال التهديد بالتطوير شبكات الروبوتوسرقة البيانات الحساسة والمزيد.

في هذه المقالة نستكشف:

• تم اكتشاف نقاط ضعف في بعض المنتجات الشائعة.
• تقنيات تحديد الهدف واستغلاله التي تستخدمها الجهات الفاعلة في مجال التهديد التدخلي.
• مسار عمل الجهات الفاعلة في مجال التهديد في حالة تحديد خلل في منتجات/تكنولوجيا الإنترنت المستخدمة على نطاق واسع.

 

نقاط الضعف المستهدفة الشائعة واستغلالها

 Ghostcat: ثغرة أباتشي تومكات

جميع إصدارات خادم Apache Tomcat عرضة لتضمين الملفات المحلية وإمكانية RCE. تكمن المشكلة في بروتوكول AJP، وهو إصدار محسن من بروتوكول HTTP. تعتبر الثغرة الأمنية القديمة ضعيفة بسبب المكون الذي تعامل مع سمة الطلب بشكل غير صحيح. يستمع بروتوكول AJP، الذي تم تمكينه افتراضيًا، إلى منفذ TCP 8009. ظهرت العديد من الماسحات الضوئية ونصوص الاستغلال والمصائد في غضون أيام بعد الكشف الأصلي من قبل Apache.

تشير الإحصائيات التي نشرها الباحثون إلى عدد كبير من الأنظمة المتأثرة، والأرقام أكبر بكثير مما كان متوقعًا في الأصل.

سيتريكسس ADC، بوابة سيتريكسس، RCE، اجتياز الدليل

في الآونة الأخيرة، أثرت الثغرات الأمنية في Directory Traversal و RCE، في منتجات Citrix ADC و Gateway، على 80،000 نظام على الأقل. بعد فترة وجيزة من الكشف، قامت كيانات متعددة (مشروع زيرو إنديا، شركة TrustedSEC) أصدرت نصوص PoC علنًا والتي ولدت عددًا كبيرًا من محاولات الاستغلال، من جهات فاعلة متعددة في البرية.

التعرض للبيانات الحساسة من Jira

 قبل بضعة أشهر، وجد الباحثون أن شركة Jira Instances تسرب معلومات حساسة مثل الأسماء والأدوار ومعرفات البريد الإلكتروني للموظفين. بالإضافة إلى ذلك، تفاصيل المشروع الداخلية، مثل المعالم والمشاريع الحالية وتفاصيل المالك والمشترك، وما إلى ذلك، كانت متاحة أيضًا لأي شخص يقدم طلبًا إلى نقاط نهاية JIRA التالية غير المصادق عليها:

 

https://jirahost/secure/popups/UserPickerBrowser.jspa

https://jirahost/secure/ManageFilters.jspa?filterView=popular

https://jirahost/secure/ConfigurePortalPages! default.jspa؟ view=شعبي

قام Avinash Jain، من Grofers، باختبار الثغرة الأمنية على أهداف متعددة، واكتشف عدد كبير من حالات جيرا الضعيفة، والكشف عن بيانات حساسة تنتمي إلى شركات مختلفة، مثل ناسا وجوجل وياهو، وموظفيها.

 تسرب بيانات Spring Boot عبر المحركات

Spring Boot هو إطار MVC مفتوح المصدر قائم على جافا. إنه يمكّن المطورين من إعداد المسارات بسرعة لخدمة البيانات عبر HTTP. تستخدم معظم التطبيقات التي تستخدم إطار Spring MVC الآن أيضًا أداة Boot. يساعد Boot المطورين على تكوين المكونات التي يجب إضافتها، وكذلك إعداد Framework بشكل أسرع.

ميزة إضافية للأداة تسمى Actuator، تمكن المطورين من مراقبة وإدارة تطبيقاتهم/REST API، من خلال تخزين وتقديم مقالب الطلبات والمقاييس وتفاصيل التدقيق وإعدادات البيئة.

في حالة التكوين الخاطئ، يمكن أن تكون هذه المحركات بابًا خلفيًا للخوادم، مما يجعل التطبيقات المكشوفة عرضة للانتهاكات. أدى التكوين الخاطئ في إصدارات Spring Boot من 1 إلى 1.4 إلى منح الوصول إلى نقاط نهاية المشغل بدون مصادقة. على الرغم من أن الإصدارات الأحدث تؤمن نقاط النهاية هذه افتراضيًا، وتسمح بالوصول فقط بعد المصادقة، لا يزال المطورون يميلون إلى تجاهل التكوين الخاطئ قبل نشر التطبيق.

تقوم نقاط نهاية المشغل التالية بتسريب البيانات الحساسة:

/تفريغيقوم بتفريغ الخيط ويعيد التفريغ/أثريقوم بإرجاع تفريغ طلبات HTTP التي يتلقاها التطبيق/ملف السجليقوم بإرجاع المحتوى الذي تم تسجيله في التطبيق/إيقاف التشغيليأمر التطبيق بإيقاف التشغيل بأمان/التعييناتتقوم بإرجاع قائمة بجميع مسارات @RequestMapping/البيئةيعرض جميع قيم البيئة القابلة للتكوين في الربيع/الصحةيقوم بإرجاع المعلومات الصحية للتطبيق

 

هناك نقاط نهاية أخرى معيبة للمشغل توفر معلومات حساسة لـ:

• الحصول على معلومات النظام
• إرسال الطلبات كمستخدمين مصادق عليهم (من خلال الاستفادة من قيم الجلسة التي تم الحصول عليها من تفريغ الطلبات)
• قم بتنفيذ الأوامر الهامة وما إلى ذلك.

Webmin RCE عبر الوظائف ذات الأبواب الخلفية

Webmin هي أداة تكوين نظام شائعة قائمة على الويب. تؤثر ثغرة RCE قبل المصادقة لمدة صفر يوم على بعض إصداراتها، بين 1.882 و 1.921. تعمل هذه الثغرة الأمنية على تمكين وظيفة تغيير كلمة المرور عن بُعد. كان مستودع كود Webmin على SourceForge مزودًا بشفرة ضارة تسمح بإمكانية تنفيذ الأوامر عن بُعد (RCE) على نقطة نهاية متأثرة.

يرسل المهاجم أوامره المزودة بمعلمات تغيير كلمة المرور من خلال `كلمة المرور_تغيير.cgi` على المضيف الضعيف الذي يقوم بتشغيل Webmin. وإذا تمت استضافة تطبيق Webmin بامتيازات الجذر، فيمكن للخصم تنفيذ أوامر ضارة كمسؤول.

لماذا تستغل الجهات الفاعلة في مجال التهديد نقاط الضعف؟

1. خرق بيانات المستخدم/الشركة: استخراج البيانات من البيانات الحساسة/معلومات تحديد الهوية الشخصية
2. قوة الحوسبة: إصابة الأنظمة بتعدين العملات المشفرة وخدمة الملفات الضارة
3. شبكات الروبوت التي تخدم الملفات الضارة: عمليات الاستغلال التي تستهدف إضافة المزيد من الروبوتات إلى شبكة بوت نت أكبر
4. انقطاع الخدمة والفدية في نهاية المطاف: منع المستخدمين من الوصول إلى الأجهزة
5. أسباب سياسية، حرب إلكترونية، مستخدم غاضب، إلخ.

 

كيف يستغل الخصوم نقاط الضعف؟

عند الكشف عن نقاط الضعف هذه، يبحث الخصوم في الإنترنت عن التفاصيل الفنية ويستغلون الرموز لشن هجمات. أبحاث شركة راند ويشير التحليل الخاص بالثغرات الأمنية في يوم الصفر إلى أنه بعد الكشف عن نقاط الضعف الأمنية، يتطلب الأمر من 6 إلى 37 يومًا و متوسط 22 يومًا لتطوير استغلال يعمل بكامل طاقته. ولكن عندما يأتي الكشف عن الاستغلال مع التصحيح، يقوم المطورون والمسؤولون على الفور بتصحيح البرامج المعرضة للخطر. يساعد التحديث التلقائي والتحديثات الأمنية المنتظمة والتغطية الواسعة النطاق لمثل هذه الإفصاحات على احتواء الهجمات. ومع ذلك، تقوم العديد من الأنظمة بتشغيل الإصدارات غير المصححة من البرامج أو التطبيقات وتصبح أهدافًا سهلة لمثل هذه الهجمات.

الخطوات المتبعة في استغلال نقاط الضعف

بمجرد أن يقرر الممثل السيئ استغلال ثغرة أمنية، يتعين عليه:

• الحصول على استغلال عملي أو تطوير استغلال (في حالة وجود ثغرة أمنية في يوم الصفر)
• استخدم إثبات المفهوم (PoC) المرفق بتقرير الأخطاء (في حالة الكشف عن الأخطاء)
• حدد أكبر عدد ممكن من المضيفين المعرضين للاستغلال
• قم بتعظيم عدد الأهداف لتحقيق أقصى قدر من الأرباح.

صيد الهدف

على الرغم من أن البائعين المعنيين يقومون بتصحيح الثغرات الأمنية التي تم الإبلاغ عنها، عند البحث في GitHub أو CVEs محددة على exploitDB، يمكننا العثور على نصوص PoC للمشكلات. عادةً ما تتطلب نصوص PoC مضيف/عنوان URL كمدخل وتقيس نجاح الاستغلال/الفحص.

يحدد الخصوم مضيفًا ضعيفًا من خلال توقيعاتهم/سلوكهم، لإنشاء قائمة بالمضيفين الذين يمكن استغلالهم. تحتوي المكونات التالية على تواقيع تحدد ما إذا كان المضيف ضعيفًا أم لا:

• ميناء
• المسار
• نطاق فرعي
• المحتوى المفهرس/عنوان URL

ميناء

تحتوي العديد من البرامج الشائعة الاستخدام على منفذ (منافذ) تثبيت افتراضي محدد. إذا لم يتم تكوين المنفذ، يتم تثبيت البرنامج على منفذ محدد مسبقًا. وفي معظم الحالات، يتم تثبيت البرنامج على المنفذ الافتراضي. على سبيل المثال، تستخدم معظم الأنظمة المنفذ الافتراضي 3306 لتثبيت MySQL والمنفذ 9200 من أجل إلاستيكسيرتش. لذلك، من خلال تنظيم قائمة بجميع الخوادم بمنفذ 9200 مفتوح، يمكن لممثل التهديد تحديد الأنظمة التي تقوم بتشغيل Elasticsearch. ومع ذلك، يمكن استخدام المنفذ 9200 لتثبيت خدمات/برامج أخرى أيضًا.

استخدام عمليات فحص المنافذ لاكتشاف الأهداف لاستغلال ثغرات Webmin RCE

• تحديد أن المنفذ الافتراضي الذي يستمع إليه Webmin بعد التثبيت هو المنفذ 10000.
• احصل على PoC يعمل لاستغلال Webmin.
• قم بإجراء فحص للمنافذ على جميع المضيفين المتصلين بالإنترنت بحثًا عن المنفذ 10000.
• سيؤدي ذلك إلى اكتشاف جميع عمليات تثبيت Webmin الممكنة التي قد تكون عرضة للاستغلال.

بالإضافة إلى أدوات مثل شودان اجعل اكتشاف الهدف المستند إلى المنفذ أمرًا سهلاً. في الوقت نفسه، إذا لم يقم Shodan بفهرسة المنفذ المستهدف، فإن المهاجمين يستفيدون من أدوات مثل MassScan, زينماب وقم بتشغيل على مستوى الإنترنت مسح ضوئي. لا يستغرق النهج الأخير يومًا إذا كان لدى المهاجم موارد كافية.

وبالمثل، فإن المهاجم الذي يبحث عن طريقة سهلة للعثور على قائمة الأنظمة المتأثرة بـ Ghostcat، سيقوم بفحص المنفذ لجميع عناوين IP المستهدفة وتضييق نطاق الأجهزة التي تحتوي على منفذ 8009 مفتوح.

المسار

عادةً ما يتم تثبيت البرامج/الخدمات على مسار افتراضي مميز. وبالتالي، يمكن أخذ بصمات البرنامج من خلال مراقبة مسار التوقيع. على سبيل المثال، يمكن تحديد عمليات تثبيت WordPress إذا كان المسار 'wp-login.phpتم اكتشاف 'على الخادم. هذا يسهل تحديد موقع الخدمة عند وصولها إلى متصفح الويب.

على سبيل المثال، عند تثبيت الأداة المساعدة phpmyadmin، يتم تثبيتها افتراضيًا على المسار «ذلك/phpmyadmin». يمكن للمستخدم الوصول إلى الأداة المساعدة من خلال هذا المسار. في هذه الحالة، لن يساعد فحص المنفذ، لأن هذه الأداة المساعدة لا يتم تثبيتها على منفذ معين.

استخدام مسارات مميزة لاكتشاف الأهداف لاستغلال تسرب بيانات Spring Boot

• اجمع قائمة بالمضيفين الذين يقومون بتشغيل Spring Boot. نظرًا لأن تطبيقات Spring Boot الافتراضية تبدأ على المنفذ 8080، سيكون من المفيد الحصول على قائمة بالمضيفين الذين لديهم هذا المنفذ مفتوحًا. هذا يسمح للجهات الفاعلة في مجال التهديد برؤية النمط.
• ضرب نقاط نهاية محددة مثل 'd'trace' و '/env' على المضيفين وتحقق من الاستجابة للمحتوى الحساس.

ماسحات مسار الويب وأدوات تشويش الويب مثل البحث أو Ffuf تسهيل هذه العملية.

على الرغم من أن الردود قد تتضمن نتائج إيجابية كاذبة، يمكن للجهات الفاعلة استخدام تقنيات، مثل مطابقة التوقيع أو التحقق من القواعد الثابتة، لتقييد قائمة المضيفين المعرضين للخطر. نظرًا لأن هذه الطريقة تعمل مع طلبات واستجابات HTTP، يمكن أن تكون العملية أبطأ بكثير من عمليات مسح المنافذ واسعة النطاق. شودان يمكن أيضًا جلب المضيفين استنادًا إلى استجابات http، من فهرسها.

نطاق فرعي

عادةً ما يتم تثبيت البرامج على نطاق فرعي محدد نظرًا لأنها طريقة أسهل وقياسية وملائمة لتشغيل البرنامج.

على سبيل المثال، توجد Jira بشكل شائع في نطاق فرعي كما هو الحال في 'jira.domain.com ' أو «bug-jira.domain.com». على الرغم من عدم وجود قواعد عندما يتعلق الأمر بالنطاقات الفرعية، يمكن للخصوم تحديد أنماط معينة. الخدمات المماثلة، التي يتم تثبيتها عادةً على نطاق فرعي، هي Gitlab، بروتوكول نقل الملفات، بريد الويب، Redmine، جينكينز، إلخ

مسارات الأمان، Circl.lu، Rapid7 للبيانات المفتوحة الاحتفاظ بسجلات DNS السلبية. الماسحات الضوئية الأخرى التي تحتفظ بهذه السجلات ستكون مواقع مثل Crt.sh والتعداد. يقومون بجمع سجلات شهادات SSL بانتظام ولديهم ميزة إضافية تدعم الاستعلامات.

المحتوى المفهرس/عنوان URL

المحتوى الذي تنشره الخدمات فريد بشكل عام. إذا استخدمنا محركات بحث مثل Google، للعثور على صفحات تستند إلى توقيعات معينة، وتعرض محتوى معينًا، فستتضمن النتائج قائمة بعناوين URL التي تدير خدمة معينة. هذه واحدة من أكثر التقنيات شيوعًا للبحث عن الأهداف بسهولة.
يُعرف عمومًا باسم»جوجل دوركينج'. على سبيل المثال، يمكن للخصوم تنظيم قائمة قصيرة بجميع صفحات تسجيل الدخول إلى cPanel بسرعة. لذلك، يمكنهم استخدام Dork التالي في بحث Google: «الموقع: cpanel.*.* في العنوان:» تسجيل الدخول» - الموقع: forums.cpanel.net». ال قاعدة بيانات جوجل للاختراق يحتوي على العديد من هذه Dorks وبعد فهم آلية البحث، من السهل كتابة استعلامات البحث هذه.

ملاحظات

كانت هناك العديد من تجارب أواني العسل لدراسة الاستكشاف والاستغلال على نطاق واسع في البرية. لا يعد إعداد أواني العسل طريقة جيدة لفهم أنماط الهجوم فحسب، بل إنه يساعد أيضًا في تحديد الجهات الخبيثة الموجودة هناك، ومحاولة استغلال الأنظمة في البرية. تنتهي عناوين IPS/الشبكة المحددة هذه التي تحاول تعداد الأهداف أو استغلال الأنظمة الضعيفة في قوائم سوداء عامة مختلفة. أدت المحاولات البحثية المختلفة إلى إنشاء مصائد متنوعة ودراسة التقنيات المستخدمة للوصول. تهدف معظم المحاولات إلى الوصول عبر بيانات الاعتماد الافتراضية، وقد نشأت بشكل أساسي من عناوين IP المدرجة في القائمة السوداء.

ملاحظة أخرى مثيرة للاهتمام هي أن معظم حركة المرور المكتشفة في المصائد يبدو أنها تأتي من الصين. من الشائع أيضًا رؤية المصائد الخاصة بسطح يوم الصفر على Github بعد وقت قصير من إصدار الاستغلال. ثغرة سيتريكسس ADC (الكهف 2019-19781) رأى أيضًا القليل المصائد يتم نشره على Github في غضون وقت قصير بعد إصدار الاستغلال الأول PoC.

البحث يسلط برنامج Sophos الضوء على معدل النشاط المرتفع على الأهداف المكشوفة باستخدام المصائد. كما ورد في الورقة البحثية، فقد استغرق الأمر من أقل من دقيقة إلى 2 ساعة للهجوم الأول على الهدف المكشوف. لذلك، إذا أدى التكوين الخاطئ العرضي إلى تعرض النظام للإنترنت، حتى لفترة قصيرة من الزمن، فلا ينبغي افتراض أن النظام لم يتم استغلاله.