🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

لا تزال الأصول المتعددة عرضة لـ RCE القديم الذي يطلق عليه اسم «ExplodingCan»

اكتشف فريق أبحاث تهديدات العملاء في CloudSek أصولًا متعددة على الإنترنت لا تزال عرضة لـ CVE-2017-7269، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) تؤثر على IIS v6.0 - 2003 R2.
تم التحديث بتاريخ
April 16, 2026
تم النشر في
March 22, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2017-7269السيرة الذاتية: 3.0 النتيجة: 9.8

ملخص تنفيذي

  • كلاود سيكاكتشف فريق أبحاث تهديدات العملاء العديد من الأصول على الإنترنت التي لا تزال عرضة لـ CVE-2017-7269، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) تؤثر على IIS v6.0 (2003 R2).
  • هذه ثغرة Buffer Overflow موجودة في خدمة WebDAV الخاصة بـ IIS v6.0 ويمكن استغلالها إذا تم تمكين رأس PROPFIND.
  • غالبًا ما يشار إلى هذه الثغرة الأمنية باسم Immortal CVE، حيث يتم تسليط الضوء على المشكلة في منتج في مرحلة نهاية عمره (EOL) بالفعل. وبالتالي، لم تنشر Microsoft مطلقًا تصحيحًا رسميًا.

التحليل

  • منصة CloudSek الرائدة لمراقبة المخاطر الرقمية الجيل السادس عشر يقوم بتشغيل عمليات فحص التكوين الخاطئ للتطبيقات الروتينية كجزء من وظيفة مراقبة البنية التحتية.
  • خلال إحدى عمليات الفحص هذه، وجدنا أن هناك العديد من الأصول التي لا تزال عرضة لخلل قديم، يطلق عليه اسم ExplodingCan.

حول ثغرة إكسبلودينغ كان

  • تم اكتشاف هذه الثغرة الأمنية الخطيرة في عام 2017، وهي تتيح للمهاجم تشغيل تعليمات برمجية عشوائية على الأنظمة الضعيفة، مع امتيازات المستخدم، من خلال استغلال خطأ في التأليف الموزع على الويب وإصداره (WebDAV).
  • WebDAV عبارة عن مجموعة من الامتدادات لبروتوكول نقل النص التشعبي (HTTP)، والذي يسمح لوكلاء المستخدمين بتأليف المحتوى بشكل مشترك مباشرة في خادم ويب HTTP، من خلال تسهيل التحكم في التزامن وعمليات مساحة الاسم. يتيح ذلك عرض الويب كوسيط تعاوني قابل للكتابة وليس فقط كوسيلة للقراءة فقط.
  • بمجرد إثبات ذلك، يتم تمكين عنوان PROPFIND على الهدف، ويمكن تأكيد ثغرة ExplodingCan. يمكن القيام بذلك بمساعدة الأمر cURL التالي.
cURL command to confirm if PROPFIND header is enabled or not
أمر cURL لتأكيد ما إذا كان رأس PROPFIND ممكّنًا أم لا
  • إذا قام الأمر بإرجاع رمز استجابة HTTP 411، يُقال أن النظام المستهدف ضعيف (كما هو موضح في الصورة أعلاه).
  • بينما إذا قام الأمر بإرجاع رموز استجابة HTTP 401 أو 503 أو 403، فسيشير ذلك إلى أن الهدف ليس عرضة للخطر.

معلومات من OSINT

  • تحتوي برامج WannaCry الضارة على العديد من الثغرات الأمنية لمدة 0 يوم في ترسانتها، مما يجعلها واحدة من أكثر حملات البرامج الضارة كارثية التي يتم تسجيلها. وكانت إكسبلودينغ كان، CVE-2017-7269، واحدة منها.
  • ومن المعروف أيضًا أن هذه الثغرة الأمنية قد تم استغلالها من قبل الجهات الفاعلة الصينية لتعدين عملة Electroneum المشفرة.
  • استنادًا إلى محرك البحث Shodan، هناك أكثر من مليون خادم لا يزال من المحتمل أن يكون عرضة لـ CVE-2017-7269. ومع ذلك، من الصعب التأكد من الرقم الدقيق، حيث يجب أن يحتوي الخادم أيضًا على خدمة WebDAV وتمكين رأس طلب PROPFIND.
Results on Shodan
النتائج على شودان
  • تم الاستفادة من هذه الثغرة الأمنية باستمرار في هجمات البرامج الضارة وبرامج الفدية.
  • يمكن للجهات الفاعلة في مجال التهديد الاستفادة من هذه الثغرة الأمنية للحصول على موطئ قدم أولي على الأنظمة المستهدفة. ثم تقوم البرامج الضارة بتثبيت التعليمات البرمجية الضارة والاستيلاء على الخادم وحتى السماح بتصعيد الامتيازات.
  • توفر العديد من أكواد الاستغلال المجانية على منصات متعددة مفتوحة المصدر مثل جيت هاب، يجعل من السهل استغلال هذه الثغرة الأمنية.

التأثير والتخفيف

التأثيرالتخفيفيمكن للجهات الفاعلة في مجال التهديد تشغيل shellcodes للوصول إلى الخادم البعيد. يمكن أن يؤدي استغلال هذه الثغرة الأمنية إلى هجمات محتملة لبرامج الفدية. وقد يؤدي أيضًا إلى الاستيلاء الكامل على الخادم. يمكن للجهات الفاعلة في مجال التهديد سرقة الملكية الفكرية والبيانات السرية. يمكن أن يؤثر أيضًا على إيرادات الشركة وسمعتها. لا توجد حلول لهذه الثغرة الأمنية لأن المنتج كان بالفعل في EOL عندما تم إصدار الثغرة الأمنية. قم بالتحديث إلى نظام تشغيل أحدث وقم بتحديث خادم IIS إلى أحدث إصدار. يرجى الرجوع إلى المسؤول خدمات استشارية من شركة مايكروسوفت.

المراجع

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد