انتشار بدافزار در سرورهای Apache Tamcat
انتشار بدافزار در سرورهای Apache Tamcat
انتشار بدافزار در سرورهای Apache Tamcat |
| محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای باتنت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال میپردازند. Apache Tomcat، یک سرور رایگان و منبع باز میباشد که از فناوریهای Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP را ارائه میکند و به طور گسترده در Cloud، Big data وWebsite استفاده میشود. Aqua طی دو سال، بیش از 800 حمله به هانیپاتهای سرور Tomcat خود شناسایی کرد که 96 درصد این حملات از طریق باتنت Mirai صورت گرفته است؛ از بین این حملات،20 درصد (152مورد) آنها از شل اسکریپت " neww" و 24 آیپی استفاده کردهاند و 68 درصد نیز از آیپی 104.248.157[.]218. حملات خود را انجام دادهاند. بدافزار مذکور از هاستهای آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده میکند. |
 |
| مهاجم پس از ورود موفقیتآمیز، یک فایل WAR را با وبشل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکانپذیر میکند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww میباشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده میکنید: |
 |
| فایل WAR حاوی فایلهای ضروری برنامههای کاربردی تحتوب از جمله HTML، CSS، Servlets و Classes میباشد. در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ میکند، وبشل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز میکند. شایان ذکر است که یافتهها حاکی از استخراج ارزهای دیجیتال با افزایش 399 درصدی و 332 میلیون حمله cryptojacking در سراسر جهان در نیمه اول سال 2023 میباشد. این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار میدهد. تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه میکنند: • اطمینان از پیکربندی صحیح تمام محیطها و ابزارها • اطمینان از اسکن مکرر محیطهای خود در برابر تهدیدات ناشناخته • توانمندسازی توسعهدهندگان، DevOps و تیمهای امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیبپذیریها و بررسی پیکربندیهای نادرست • استفاده از راهحلها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آنها |
| منبع:سایت مرکز ماهر |
نظر دهید