محققان امنیت سایبری یک بدافزار در سرورهای Apache Tomcat کشف کردهاند.
محققان امنیت سایبری یک بدافزار در سرورهای Apache Tomcat کشف کردهاند.
به گزارش افتانا به نقل از GBHackers، محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای باتنت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال میپردازند.
Apache Tomcat، یک سرور رایگان و منبع باز میباشد که از فناوریهای Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP را ارائه میکند و به طور گسترده در Cloud، Big data وWebsite استفاده میشود.
Aqua طی دو سال، بیش از ۸۰۰ حمله به هانیپاتهای سرور Tomcat خود شناسایی کرد که ۹۶ درصد این حملات از طریق باتنت Mirai صورت گرفته است؛ از بین این حملات،20 درصد (152مورد) آنها از شل اسکریپت " neww" و ۲۴ آیپی استفاده کردهاند و ۶۸ درصد نیز از آیپی 104.248.157[.]218. حملات خود را انجام دادهاند. بدافزار مذکور از هاستهای آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده میکند.
مهاجم پس از ورود موفقیتآمیز، یک فایل WAR را با وبشل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکانپذیر میکند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww میباشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده میکنید:
فایل WAR حاوی فایلهای ضروری برنامههای کاربردی تحتوب از جمله HTML، CSS، Servlets و Classes میباشد.
در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ میکند، وبشل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز میکند. شایان ذکر است که یافتهها حاکی از استخراج ارزهای دیجیتال با افزایش ۳۹۹ درصدی و ۳۳۲ میلیون حمله cryptojacking در سراسر جهان در نیمه اول سال 2023 میباشد.
این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار میدهد.
تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه میکنند:
• اطمینان از پیکربندی صحیح تمام محیطها و ابزارها
• اطمینان از اسکن مکرر محیطهای خود در برابر تهدیدات ناشناخته
• توانمندسازی توسعهدهندگان، DevOps و تیمهای امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیبپذیریها و بررسی پیکربندیهای نادرست
• استفاده از راهحلها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آنها