آسیب‌پذیری خطرناکی در phpMyAdmin وصله شد
به‌روزسانی جدیدی که از سوی توسعه‌دهندگان phpMyAdmin منتشر شده آسیب‌پذیری خطرناکی را ترمیم کرده است که به هکرها اجازه می‌دهد مدیران سایت‌ها را فریب دهند تا روی لینک‌های جعلی کلیک کنند و در ادامه راه برای انجام فعالیت‌های خرابکارانه روی بانک‌های اطلاعاتی سایت‌ها هموار شود.

phpMyAdmin یک ابزار متن‌ باز رایگان است که به‌منظور مدیریت بانک‌های اطلاعاتی MySQL از طریق بستر اینترنت مورد استفاده قرار می‌گیرد. ابزار فوق به‌طور میانگین در هر ماه 200 هزار بار دانلود می‌شود که در نتیجه phpMyAdmin را به یکی از پرکاربردترین ابزارهایی که برای مدیریت بانک‌های اطلاعاتی MySQL مورد استفاده قرار می‌گیرد تبدیل کرده است. 

اشوتوش باروت کارشناس امنیتی شرکت Cyber Security Consultant اولین فردی بود که موفق شد آسیب‌پذیری جعل درخواست میان سایتی CSRF (سرنام Cross-Site Request Forgery) را شناسایی کند. آسیب‌پذیری که به هکرها اجازه می‌دهد عملیات خرابکارانه‌ای همچون حذف جداول، سطرها یا تغییر مقادیر درون بانک‌های اطلاعاتی را انجام دهند. برای آنکه حمله یاد شده موفقیت‌آمیز باشد، مدیر سایت باید روی یک نشانی اینترنتی جعلی کلیک کند. با وجود این، باروت به این موضوع اشاره کرده است که این حمله همچنین زمانی که کاربر به سیستم مدیریت میزبان وب cPanel وارد می‌شود و حتی پس از خاتمه دادن به اجرای ابزار phpMyAdmin نیز عمل می‌کند. این نوع از حملات از آن جهت موفقیت‌آمیز گزارش شده‌اند که نسخه‌های آسیب‌پذیر ابزار phpMyAmin از درخواست‌های GET به‌منظور انجام عملیات مختلف روی بانک‌های اطلاعاتی استفاده می‌کنند، اما راهکاری به‌منظور مقابله با آسیب‌پذیری جعل درخواست میان سایتی ارائه نمی‌کنند. 
این کارشناس امنیتی کشف کرده است که نشانی‌های اینترنتی مرتبط با عملیات انجام شده روی بانک‌های اطلاعاتی از طریق ابزار phpMyAdmin در تاریخچه مرورگر وب ذخیره شده که می‌تواند مخاطرات امنیتی را به همراه آورد. باروت در پستی که در وبلاگ خود قرار داده گفته است: «این نشانی اینترنتی شامل نام بانک اطلاعاتی و نام جدولی است که به‌عنوان یک درخواست GET به‌منظور انجام عملیات روی بانک ‌اطلاعاتی به کار گرفته می‌شود. نشانی‌های اینترنتی در مکان‌های متفاوتی همچون تاریخچه مرورگر، فایل‌های گزارش SIEM، فایل‌های گزارش دیوارهای آتش و فایل‌های گزارش مربوط به ارائه‌دهندگان سرویس‌های اینترنتی ذخیره‌سازی می‌شود. این نشانی اینترنتی همیشه در بخش کلاینت قابل مشاهده بوده و اگر شما از پروتکل SSL استفاده نکرده باشید، این مسئله به چالشی جدی برای شما تبدیل می‌شود. ذخیره شدن نشانی‌های اینترنتی در مکان‌های مختلف به هکرها اجازه می‌دهد تا به اشکال مختلف بتوانند اطلاعاتی در ارتباط با بانک اطلاعاتی شما به دست آورند.» 
توسعه‌دهندگان ابزار phpMyAdmin درنهایت وصله مربوط برای ترمیم آسیب‌پذیری جعل درخواست میان سایتی را در قالب نسخه 4.7.7 منتشر کردند. در نتیجه همه نسخه‌های قبل از 4.7 به آسیب‌پذیری فوق که با درجه بحرانی طبقه‌بندی شده آلوده هستند. توصیه می‌شود در اسرع وقت نسبت به دریافت به‌روزرسانی فوق اقدام کنید. 

بدافزار LockPoS از راهکاری جدید برای تزریق کد استفاده می‌کند

بدافزار LockPoS که اولین بار ماه جولای 2017 میلادی کشف شد، از راهکار جدید و البته جالبی برای به سرقت بردن داده‌های مربوط به کارت‌های اعتباری استفاده می‌کند. بدافزار فوق از حافظه کامپیوترهایی که به اسکنرهای کارت اعتباری فروشگاه‌ها متصل هستند به‌منظور سرقت این داده‌ها استفاده می‌کند. ساز و کار آن به این صورت است که قادر است حافظه پردازه‌های در حال اجرا را خوانده و در ادامه داده‌های مربوط به کارت‌های اعتباری را جمع‌آوری و درنهایت این داده‌ها را برای سرور کنترل و فرمان‌دهی ارسال کند. تحلیل‌های اولیه نشان داده‌اند که بدافزار فوق از یک تزریق‌کننده کد به‌منظور تزریق خود در پردازه explorer.exe ویندوز استفاده می‌کند. در ادامه پس از آلوده‌سازی فایل اکسپلورر مؤلفه‌های مختلفی را دانلود می‌کند تا درنهایت بار داده LockPos را با موفقیت تزریق کند. اما نگارش جدید بدافزار یاد شده از راهکار دیگری که پیش از این از سوی بدافزار ترمینال‌های فروشگاهی Flokibot استفاده می‌شد، به‌منظور تزریق خود استفاده می‌کند. 
به نظر می‌رسد بدافزار یاد شده و بات‌نت Flokibot از سوی یک نفر نوشته شده‌اند. شرکت Cyberbit در این ارتباط گفته است: «یکی از تکنیک‌های تزریق کد که از سوی بدافزار فوق مورد استفاده قرار می‌گیرد، ساخت یک شیء در کرنل است. این شیء تابعی را فراخوانی کرده که در ادامه قادر است این بخش را به درون پردازه دیگری کپی و یک ریسمان راه دور را به‌منظور اجرای کدهای نگاشت شده ایجاد کند.» 
پژوهش‌های انجام شده نشان می‌دهند که بدافزار LockPoS از سه روتین اصلی NtCreateSection، NtMapViewOfSection و NtCreateThreadEx به‌شکلی فرعی برای تزریق از راه دور کدهای مخرب به درون یک پردازه استفاده می‌کند. سه روتین یاد شده از طریق فایل ntdll.dll که یک کتابخانه پویای مرکزی در سیستم ‌عامل ویندوز است به‌ کار گرفته می‌شود. بدافزار فوق به‌جای آنکه سه روال یاد شده را فراخوانی کند، کتابخانه ntdll.dll را از درون دیسک و همراه با فضای نشانی‌دهی مجازی خود فراخوانی می‌کند که همین موضوع به بدافزار یاد شده اجازه می‌دهد یک کپی تمیز از این فایل dll ایجاد کند. این بدافزار بافری ایجاد می‌کند که برای ذخیره‌سازی تعداد فراخوانی‌های سیستم، کپی کردن کدهای مخرب برای به‌اشتراک‌گذاری بخش‌های نگاشت شده و سپس ساخت یک ریسمان از راه دور در explorer.exe برای اجرای کدهای مخرب مورد استفاده قرار می‌گیرد. این راهکار تزریق کد، به بدافزار یاد شده اجازه داده است از سد مکانیسم‌های امنیتی که به‌دقت فایل ntdll.dll را مورد بررسی قرار می‌دهند عبور و حمله موفقی را پیاده‌سازی کند. مکانیسم مورد استفاده از سوی بدافزار فوق از آن جهت جدید و خطرناک است که بخش عمده‌ای از محصولات امنیتی این توانایی را ندارند بر عملکرد هسته در سیستم ‌عامل ویندوز 10 و عملکرد خود ویندوز نظارت داشته باشند. کارشناسان پیشنهاد داده‌اند تا شرکت‌ها از ابزارهای تحلیل حافظه بهبود پیدا کرده برای شناسایی این مدل بدافزارها استفاده کنند .

برچسب: