x

Blog

هشدار FBI: حمله هکرهای ایرانی به تجهیزات F5

خلاصه: گزارش FBI از تلاش هکرهای ایرانی برای سوءاستفاده از آسیب‌پذیری F5 Big IP که در شرکت‌ها، نهادهای دولتی و بانک‌های ایالات متحده استفاده می‌شود. در صورت تسخیر شبکه هدف، اطلاعات حساس آن می‌تواند جمع‌آوری شده و به سرقت رود و به سایر هکرها یا دولت ایران فروخته شود. بعلاوه حمله موفّق می‌تواند به استقرار باج‌افزار در شبکه قربانی منجر شود و اعتبارنامه‌های آن را برای دسترسی به سایر تجهیزات شبکه برباید. نهایتاً در گزارش FBI، مشخصه‌های تسخیر، تاکتیک‌ها، فنون و رویه‌هایی برای تشخیص حملات به سازمان‌ها پیشنهاد شده است.

هشدار FBI: تلاش هکرهای ایرانی برای سوءاستفاده از آسیب‌پذیری F5 Big IP که در شرکت‌ها، نهادهای دولتی و بانک‌های ایالات متحده استفاده می‌شود. این آسیب‌پذیری از نوع «اجرای کد از راه دور» بوده و برای سوءاستفاده از آن نیازی به احراز اصالت مهاجم نیست. ریشه آسیب‌پذیری در بخش «کنترل‌کننده تحویل برنامه» یا ADC این تجهیزات است. شرکت سازنده‌ی این تجهیزات - F5-  برای رفع این آسیب‌پذیری به شناسه CVE-2020-5902 و با امتیاز مبنای 10.0 طبق استاندارد CVSS،  به‌روزرسانی امنیتی ارائه کرده است.

سازمان اطلاعات و امنیت داخلی آمریکا (CISA)، اوایل هفته‌ی جاری، از حمله هکرهای منتسب به ایران به دستگاه‌های F5 Big IP ، از اوایل جولای 2020 خبر داد(آسیب‌پذیری CVE-2020-5902 سوم جولای 2020 منتشر شده است). این سازمان حمله موفّق به 2 سازمان با سوءاستفاده از این آسیب‌پذیری را نیز تائید کرد.

سازمان اطلاعات و امنیت داخلی آمریکا (CISA): «از ششم جولای 2020، CISA اسکن وسیع ادارات و دفاتر فدرال را در جستجوی وجود این آسیب‌پذیری در تجهیزات شناسایی کرد».

عواقب حمله به تجهیزات F5 Big IP

FBI هشدار داد که در صورت تسخیر شبکه هدف، اطلاعات حساس آن می‌تواند جمع‌آوری شده و به سرقت رود و به سایر هکرها یا دولت ایران فروخته شود. بعلاوه حمله موفّق می‌تواند به استقرار باج‌افزار در شبکه قربانی منجر شود و اعتبارنامه‌های آن را برای دسترسی به سایر تجهیزات شبکه برباید.

حملات سابق این گروه هکری

به گزارش FBI، این مهاجمین پیشتر چندین حمله به VPN های آسیب‌پذیر از آگوست 2019 صورت داده‌اند. ازجمله این حملات می‌توان به حمله به Pulse secure با سوءاستفاده از آسیب‌پذیری‌های CVE-2019-11510 و CVE-2019-11539 و Citrix ADC/Gateway با سوءاستفاده از آسیب‌پذیری CVE 2019-19781 اشاره کرد.البته این حملات به موارد ذکرشده محدود نمی‌شوند. تا کنون این گروه تهدید بخش‌های مختلف ایالات متحده آمریکا  از جمله سازمان‌های دفاعی، بخش‌های سلامت، اقتصادی و اطلاعاتی و رسانه را هدف قرار داده است.

 

در این گزارش، FBI به سازمان‌ها هشدار داد که پس از حمله، اعمال به‌روزرسانی‌ها و وصله‌های امنیتی کافی نیست. چرا که این گروه هکری با استفاده از وب‌شل، در پشتی مانا ایجاد کرده و با سرقت اعتبارنامه‌های سیستم هدف، امکان کسب دسترسی مجدد را برای خود فراهم می‌کند. نهایتاً در گزارش FBI، شاخص‌های تسخیر (IoC)، تاکتیک‌ها، فنون و رویه‌هایی برای تشخیص حملات به سازمان‌ها پیشنهاد شده است.

اقدامات تشخیص و بازیابی

با این پیش‌فرض‌که هر دستگاه وصله‌نشده‌ای احتمالاً توسط هکرها تسخیر شده است؛ توصیه‌ی شرکت F5 به مدیر شبکه‌، استفاده از ابزارهای تشخیص IoC  این آسیب‌پذیری و اسکن محیط کاری‌ست.

همچنین طی کردن مراحل زیر برای رفع این آسیب‌پذیری توصیه شده است:

  • قرنطینه و قطع اتصال اینترنت دستگاه‌های آلوده
  • جمع‌آوری و ارزیابی اطلاعاتی چون پردازه‌ها و سرویس‌های در حال اجرا، احراز هویت‌های غیرمعمول و اتصالات اخیر به شبکه
  • پیاده‌سازی امضای snort ایجادشده توسط شرکت CISA برای تشخیص فعالیت‌های مخرب

در صورت وجود نشانه‌های حمله برای بازیابی، انجام مراحل زیر در دستگاه‌های آلوده توصیه‌ شده‌ است:

  • بازگردانی مجدد دستگاه‌های آلوده
  • تغییر دادن اطلاعات احراز هویت
  • محدود کردن امکانات مدیریتی تجهیزات به حداقل ممکن
  • اجرای بخش‌بندی شبکه

 

    

 

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی