محققان امنیت سایبری یک بدافزار در سرورهای Apache Tomcat کشف کرده‌اند.
 
به گزارش افتانا به نقل از GBHackers، محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای بات‌نت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال می‌پردازند.
 
Apache Tomcat، یک سرور رایگان و منبع باز می‌باشد که از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP  را ارائه می‌کند و به طور گسترده در Cloud، Big data وWebsite استفاده می‌شود.
 
Aqua طی دو سال، بیش از ۸۰۰ حمله به هانی‌پات‌های سرور Tomcat خود شناسایی کرد که ۹۶ درصد این حملات از طریق بات‌نت Mirai صورت گرفته‌ است؛ از بین این حملات،20 درصد (152مورد) آن‌ها از شل اسکریپت " neww" و ۲۴ آی‌پی استفاده کرده‌اند و ۶۸ درصد نیز از آی‌پی 104.248.157[.]218. حملات خود را انجام داده‌اند. بدافزار مذکور از هاست‌های آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده می‌کند.
 
مهاجم پس از ورود موفقیت‌آمیز، یک فایل WAR را با وب‌شل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکان‌پذیر می‌کند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww  می‌باشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده می‌کنید:

 
فایل WAR حاوی فایل‌های ضروری برنامه‌های کاربردی تحت‌وب از جمله HTML، CSS، Servlets و Classes می‌باشد.
 
در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ می‌کند، وب‌شل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز می‌کند. شایان ذکر است که یافته‌ها حاکی از استخراج ارزهای دیجیتال با افزایش ۳۹۹ درصدی و ۳۳۲ میلیون حمله cryptojacking  در سراسر جهان در نیمه اول سال 2023 می‌باشد.
 
این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار می‌دهد.
 
تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه می‌کنند:
•    اطمینان از پیکربندی صحیح تمام محیط‌ها و ابزارها
•    اطمینان از اسکن مکرر محیط‌های خود در برابر تهدیدات ناشناخته
•    توانمندسازی توسعه‌دهندگان، DevOps و تیم‌های امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیب‌پذیری‌ها و بررسی پیکربندی‌های نادرست
•    استفاده از راه‌حل‌ها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آن‌ها
 
منبع: GBHackers