الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: الوصول إلى المورد باستخدام نوع غير متوافقغطاء الكهف: CVE-2022-1096السيرة الذاتية: 3.0 النتيجة: 9.1

ملخص تنفيذي

• اكتشف فريق أبحاث التهديدات في CloudSek خرقًا يؤثر على حوالي 0.5 مليون مستخدم بسبب ثغرة أمنية نشطة في يوم الصفر يتم استغلالها في البرية بواسطة البرامج الضارة لـ RedLine Stealer.
• تستغل ثغرة يوم الصفر جميع المتصفحات القائمة على الكروم بما في ذلك المتصفحات البارزة مثل: Chrome و Chromium و Microsoft Edge و Opera و Vivaldi وما إلى ذلك، وأصدرت Google تصحيحًا طارئًا لإصلاح هذه المشكلة.
• لقد جمعنا من مصادر سرية أن Redline stealer قد سرق معلومات ملايين المستخدمين من خلال استغلال هذه الثغرة الأمنية.
• تحتوي سجلات RedLine Stealer، المتوفرة على الويب المظلم، على معلومات تنتمي إلى البنية التحتية للعديد من الشركات البارزة.
• يمكن معالجة التهديدات التي تشكلها السجلات المتاحة للجمهور وإبطالها من خلال مراقبة الويب المظلم في الوقت الفعلي.

التحليل

يسرق Redline Stealer، وهو برنامج ضار سيئ السمعة لجمع المعلومات، بيانات الأفراد والشركات من خلال استغلال CVE-2022-1096.

CVE-2022-1096

• يتم استغلال الثغرة الأمنية، التي تؤثر على محرك Chrome V8 JavaScript و WebAssembly، عندما يتم تنفيذ تعليمات برمجية عشوائية بواسطة جهة ضارة على نظام ضعيف.
• تم تعيين CVE-2022-1096 للثغرة الأمنية بدرجة CVSS v3 تبلغ 9.1.

يستغل RedLine Stealer CVE-2022-1096 لخرق المنظمات والأفراد

• على مر السنين، استخدم Redline Stealer، الذي يتم نشره باستخدام العديد من رسائل البريد الإلكتروني أو البرامج القائمة على السمات، أساليب معقدة بشكل متزايد للتسلل إلى الأجهزة.
• يسرق RedLine معلومات التعريف الشخصية (PII) وكلمات المرور من الأجهزة التي تخزن كلمات المرور والمعلومات الحساسة في المتصفحات المعرضة لهذا CVE.
• تم استغلال هذه الثغرة الأمنية لاستهداف المنظمات مثل Axis Bank و Jio و Cisco و Samsung و Zoom وما إلى ذلك، بالإضافة إلى الأفراد.
• حاليًا، يتم بيع أكثر من 0.5 مليون سجل، تم اختراقها بواسطة RedLine من خلال استغلال هذه الثغرة الأمنية، في أسواق الويب المظلمة.

معلومات من الويب المظلم

حددت CloudSek أن سجلات RedLine Stealer، المتوفرة في أسواق ومحلات الويب المظلمة، تحتوي على بيانات من البنية التحتية للشركات البارزة. يوفر Redline Stealer في سوق سجلات السارق إمكانية الوصوليوفر Redline Stealer في سوق سجلات السارق إمكانية الوصول

تحليل سجل ريد لاين ستيلر

تحليل السجلات التي تم جمعها حتى الآن، يسلط الضوء على المجالات التي استهدفها Redline Stealer، قبل اكتشاف هذا الاستغلال في يوم الصفر. المجال المتأثرالمنظمة الأمhttps://etc.axisbank.co.in/ETC/RetailRoadUserLoginAxis البنك https://omni.axisbank.co.in/axisretailbanking/Axis البنك https://prepaidcards.axisbank.co.in/customer/html/UAMLogin.jspAxis البنك! https://retail.axisbank.co.in/wps/portal/rBanking/axisebanking/AxisRetailLogin/ UT/P/A1/04_SJ9CPYKSY0xplmnMz0vmz0vmgjzoknazxmjiwnjlsqp0MDBW9PUOD3HWDQW3HDQWDQW3HDQW2a!! /dl5/d5/ l2dbisevz0fbis9nQSEH/Axis Bank https://secure.axisbank.com/ACSWeb/EnrollWeb/AxisBank/server/AccessControlServerAxis بنك https://jiomeetpro.jio.com/activateReliance جيو https://signup.jio.com/Reliance https://trueconnect.jio.com/Reliance https://www.jio.com/Enterprise/Mobility/portal/jioLoginReliance https://www.jio.com/Jio/portal/jioLoginReliance https://www.jio.com/Jio/portal/activation.jspxReliance https://www.jio.com/JioWebApp/index.htmlReliance https://cll-auth.cisco.com/Ciscohttps://cloudsso.cisco.com/as/authorization.oauth2Ciscohttps //cloudso.cisco.com/IDP/PRP.wsfسيسكو https://cloudsso.cisco.com/sp/startSSO.pingCiscohttps://emsp.cisco.com/Ciscohttps://homesupport.cisco.com/en-us/registerCiscohttps://id.cisco.com/Ciscohttps://id.cisco.com/signin/password-resetCiscohttps://id.cisco.com/signin/registerCiscohttps://identity.cisco.com/Ciscohttps://identity.cisco.com/api/tenants/global/v1/am/login-actions/authenticateCiscohttps://identity.cisco.com/api/tenants/global/v1/am/protocol/openid-connect/authCiscohttps://identity.cisco.com/ui/tenants/global/v1.0/enrollment-uiCiscohttps:// Identity.cisco.com/UI/المستأجرين /global/v1.0/Recovery-UI/تحديث كلمة المرور/سيسكو https://jobs.cisco.com/jobs/RegisterCiscohttps://res.cisco.com/websafe/pswdValidate.actionCiscohttps://sso.cisco.com/Ciscohttps://sso.cisco.com/autho/forms/CDClogin.htmCiscohttps://account.samsung.com/mobile/account/signInOAuth2.doSamsunghttps://account.samsung.com/accounts/v1/546e6f8607485413fbf79bddf07f9e8c/signInGateSamsunghttps://account.samsung.com/accounts/v1/MBR/signInGateSamsunghttps://account.samsung.com/accounts/v1/odchb/changePasswordSamsunghttps:// account.samsung.com/accounts/تيسيراكت/بوابة تسجيل الدخول سامسونج https://account.samsung.com/accounts/v1/CSWEB/signInSamsunghttps://account.samsung.com/accounts/v1/SDAP/signInGateSamsunghttps://us.account.samsung.com/accounts/v1/FMM2/signInGateSamsunghttps://api.zoom.us/activateZoomhttps://api.zoom.us/oauth2/loginZoomhttps://us02web.zoom.us/rec/share/SuAVLb_89kda9dz9iU781_hTHsbBQrpqRWeDONAltOTkOjO3FbT4uXWWsBZgnWA3.CJUZIpAvWcfmYHqLZoomhttps://zoom.us/rec/play/h3dVroWtfVoSZMl43YEcTqpzQlFIf2V1BYUA7ndzTabF4q0pcQTuDLJb8MDwXb0GYSVWXD1i-foM0e7e.KMrkn1cwgjROq1rnZoomhttp:// web.vodafone.com.eg/ar/قم بتخصيص هداياك فودافون https://auth.myvodafone.com.au/loginVodafonehttps://corp-sts-prod.vodafone.com/adfs/ls/Vodafonehttps://eshop.vodafone.com.eg/Vodafonehttps://offers.vodafone.com/Vodafonehttps://online.vodafone.com.tr/oss/Vodafonehttps://online.vodafone.com.tr/yanimda/Vodafonehttps://ro.idp.vodafone.com/iam/oic/authorizeVodafonehttps://tsl.vodafone.com/vipssp/Vodafonehttps://tsl.vodafone.com/vipssp/loginVodafonehttps://tv.vodafone.com.tr/canli-tv-izleVodafonehttps://vodafone.com.fj/MyVodafoneLoginVodafonehttps:// الموقع الإلكتروني: فودافون دوت كوم إيج/فودافون https://web.vodafone.com.eg/ar/accountVodafonehttps://web.vodafone.com.eg/auth/realms/vf-realm/login-actions/authenticateVodafonehttps://web.vodafone.com.eg/ar/customizeyourgiftsVodafonehttps://web.vodafone.com.eg/auth/realms/vf-realm/login-actions/reset-credentialsVodafonehttps://web.vodafone.com.eg/auth/realms/vf-realm/login-actions/registrationVodafonehttps://web.vodafone.com.eg/auth/realms/vf-realm/login-actions/reset-credentialsVodafonehttps://web.vodafone.com.eg/auth/realms/vf-realm/protocol/openid-connect/authVodafonehttps:// web.vodafone.com.eg/ar/Recharge1 فودافون https://www.myvodafone.com.au/selfservice/registrationVodafonehttps://www.ventajasvodafone.com/custom/pin.actionVodafonehttps://www.vodafone.com.eg/sso/loginVodafonehttps://www.vodafone.com.eg/userAcc/registerUserVodafonehttps://www.vodafone.com.fj/myvodafone/login.cfmVodafonehttps://www.vodafone.com.tr/evdeinternet/Vodafonehttps://auth.myvodafone.com.au/loginVodafonehttp://cepmerkezi.vodafone.com.tr/priceplans/alt-n-2gb-tarifesiVodafonehttp://www.vodafone.com.tr/Servisler/online-self-servis.phpVodafonehttps:// etopup.vodafone.com.tr/إيتوبوبوجي/فودافون https://hesabim.tv.vodafone.com.tr/Members/ResetPasswordVodafonehttps://offers.vodafone.com/esVodafonehttps://online.vodafone.com.tr/oss/Vodafonehttps://ro.idp.vodafone.com/Vodafonehttps://ro.idp.vodafone.com/iam/oic/authorizeVodafonehttps://s2.guvenlidepo.vodafone.com.tr/Vodafonehttps://tv.vodafone.com.tr/Vodafonehttps://tv.vodafone.com.tr/detaylar/marsli/CB85926F-F225-4158-B5AE-C75631AF9578Vodafonehttps://www.vodafone.com.tr/sso2/giris.phpVodafonehttps://www.vodafone.com.tr/telefonlar/loginVodafoneالتأثير والتخفيفالتأثيرالتخفيف

• يمكن للمهاجمين استخدام هذا الاستغلال للحصول على وصول غير مصرح به والحصول على امتيازات أعلى لسرقة المعلومات الحساسة.
• قد تؤدي هذه الثغرة الأمنية إلى هجوم RCE (تنفيذ التعليمات البرمجية عن بُعد). يمكن أن تمكّن أوراق الاعتماد المنشورة الجهات الفاعلة الأخرى في مجال التهديد من الوصول إلى شبكات المنظمة.
• يمكن أن تؤدي بعض عمليات الوصول إلى هجمات مدمرة بما في ذلك على سبيل المثال لا الحصر حملات برامج الفدية المعقدة.
• نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة في مجال التهديد الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات أخرى للمستخدمين.

• قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية لجميع حسابات المستخدمين.
• تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة.
• استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
• قم بتصحيح جميع نقاط النهاية الضعيفة والقابلة للاستغلال.
• راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.
• يمكن للمراقبة المتكررة للويب المظلم والأسواق التنبيه بشأن أي بيانات اعتماد حساسة يتم بيعها.

المراجع

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security
• https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html