امروز: شنبه، 30 تیر 1397

از جمله از حملات اخیر، جستجو در پنل‌های مدیریت مگنتو انجام می‌دهند. مهاجمان به پنل‌ها دسترسی پیدا کردند و بدافزارهایی با قابلیت سرقت شماره‌ی کارت‌های اعتباری همراه نصب می‌کنند...

 

این بستر متن‌باز نوشته شده در PHP، به‌دلیل محبوبیت آن میان وب‌گاه‌های تجارت الکترونیک برخط، مدت‌هاست که مورد توجه عوامل تهدیدکننده قرار گرفته است. به گفته‌ی فلش‌پوینت، اعضای ورودی و سطح بالای انجمن‌های وب عمیق و تاریک از سال ۲۰۱۶ میلادی متوجه این بستر شده و سامانه‌های مدیریت محتوایی مانند Powerfront و OpenCart را نیز مورد هدف قرار داده‌اند.

به‌عنوان بخشی از حملات اخیر، نفوذگرها تلاش می‌کنند تا جستجوی فراگیری را در پنل‌های مدیریت مگنتو انجام دهند. هنگامی‌که مهاجمان به این پنل‌ها دسترسی پیدا کردند، بدافزارهایی با قابلیت سرقت شماره‌ی کارت‌های اعتباری همراه با استخراج‌کننده‌های ارزهای مجازی نصب می‌شوند.

فلش‌پوینت می‌گوید که حداقل هزار پنل مدیریت مگنتو به خطر افتاده است. مهاجمان تلاش می‌کنند تا با استفاده از گواهی‌نامه‌های پیش‌فرض معمول و شناخته شده‌ی مگنتو وارد سامانه شوند، که این موضوع یک‌بار دیگر ثابت می‌کند که با تغییر گواهی‌نامه‌های پیش‌فرض هنگام نصب بسترها، می‌توان از چنین بروز خطراتی جلوگیری کرد.

مهاجمان پس از به‌دست آوردن کنترل پنل مدیریت وب‌گاه‌هایی که از سامانه‌ی مدیریت محتوای مگنتو استفاده می‌کنند، دسترسی نامحدود به وب‌گاه پیدا کرده و می‌توانند اسکریپتهای مورد نظر خود را تزریق کنند. در این مورد، آن‌ها به‌منظور دسترسی به صفحه‌های پردازش داده‌های پرداخت، کد مخرب را به پرونده‌ی اصلی مگنتو تزریق می‌کنند. بنابراین، می‌توانند درخواست‌های POST به کارگزار حاوی داده‌های حساس را به‌دست آورده و آن‌ها را به مهاجم منتقل کنند.

وب‌گاه‌های آسیب‌دیده همچنین از یک بهره‌برداری که به‌صورت به‌روزرسانی ادوبی فلش پلیر ظاهر می‌شود، استفاده می‌کنند. درصورتی که این به‌روزرسانی جعلی راه‌اندازی شود، به‌منظور بارگیری بدافزار سرقت داده تحت عنوان AZORult از GitHub، یک جاوااسکریپت مخرب را اجرا خواهد کرد. سپس این بدافزار یک استخراج‌کننده‌ی ارز مجازی با نام Rarog را بارگیری می‌کند.

 

حساب‌هایی که این پرونده‌های مخرب را میزبانی می‌کنند، از سال ۲۰۱۷ میلادی فعال بوده و پژوهش‌گران امنیتی اظهار داشتند که مهاجمان برای جلوگیری از شناسایی این پرونده‌ها با ابزارهای مبتنی بر امضاء و رفتار، آن‌ها را به‌صورت روزانه به‌روز می‌کنند.

بیشتر از هزار پنل آسیب‌دیده در صنایع آموزشی و بهداشتی در آمریکا و اروپا وجود دارد. با این حال، پژوهش‌گران بر این باورند که وب‌گاه‌های آسیب‌دیده از این موضوع اطلاع دارند که ممکن است بخشی از یک نمونه‌ی بزرگتر پنل‌های آلوده‌ی مگنتو باشند.

مدیران مگنتو برای محافظت از وب‌گاه‌ها و کاربران خود باید ورودی‌های حساب کاربری سامانه‌ی مدیریت محتوا را بررسی کرده و به‌منظور کاهش حملات جستجوی فراگیر، از گذرواژه‌های قوی استفاده کنند. همچنین باید بازیابی گذرواژه‌های پیشین را محدود کنند، برای سامانه‌ها و برنامه‌های حساس احراز هویت دو عاملی را فعال کرده و نرم‌افزار مدیریت گذرواژه‌ی امن برای کاربران خود ارائه دهند.

فلش‌پوینت اشاره می‌کند: «استفاده از گواهی‌نامه‌های پیش‌فرض توسط مدیران موجب افزایش حملات می‌شود. گواهی‌نامه‌های پیش‌فرض در مرکز حملات بات‌نت میرای در سال ۲۰۱۶ میلادی قرار داشتند که نفوذگرها را قادر می‌ساخت تا با استفاده از گذرواژه‌های پیش‌فرض شناخته شده و معمول، به دستگاه‌های متصل مانند دوربین‌های امنیتی، ضبط‌کننده‌های دیجیتال ویدیو و مسیریاب‌ها دسترسی پیدا کنند.»

بارها اشاره شده است که گواهی‌نامه‌های ضعیف در دستگاه‌های اینترنت اشیاء (IoT) تحریک‌کننده‌ی بات‌نت‌ها هستند و کسانی‌که از گذرواژه‌های قوی استفاده نمی‌کنند نیز در معرض این تهدیدات قرار دارند. حتی محصولات سامانه‌ی کنترل صنعتی (ICS) نیز دارای گواهی‌نامه‌های پیش‌فرض بوده و می‌توانند تحت تاثیر قرار گیرند.

منبع: https://news.asis.io