آسیبپذیری هزاران سرور متعلق به سازمانهای خصوصی
موبنا – برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) چندی قبلتر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیقتر و شفافتر از سوی مراجع ذی ربط احساس میشود و چراغ قرمزی بود برای مدیران سیستمهای امنیتی سازمانها و ارگانها و ادارات تا با استفاده راهکارهای لازم از سیستمها محافظت و پشتیبانی کنند.
اخیرا اعلام شد که هزاران سرور متعلق به سازمانهای خصوصی در معرض نشت اطلاعات مهم و اعتبارنامههای خود هستند. برای هکرها بسیار ساده است تا از اطلاعات معتبر لاگین برای دسترسی به سرورها و سرقت دادههای حساس استفاده کنند. بر طبق گفته محققان و جستوجو در موتور جستوجوی Shodan، حدود ۲۳۰۰ سرور به صورت آنلاین از etcd آسیبپذیر استفاده میکنند.
etcd یک مخزن کلید-مقدار است که روشی مطمئن برای ذخیره داده در خوشهای از ماشینهاست. این نوع از پایگاه داده معمولاً برای ذخیره و انتشار رمزهای عبور و پیکربندی تنظیمات میان سرورهای مختلف و برنامههای کاربردی استفاده میشود. etcd یک رابط برنامهنویسی را پیادهسازی میکند که قابلیت دریافت و پردازش درخواستها را داشته و به صورت پیش فرض اطلاعات اعتباری لاگین مدیریتی را بدون احراز هویت برمیگرداند.
یکی از محققان برای تست آسیبپذیری etcd، یک اسکریپت ساده نوشته و آن را بر روی ۲۲۸۴ سرور etcd که از طریق سرویس shodan یافت شده بودند، اجرا کرد. پس از اجرا مشخص شد که اطلاعات مربوط به اعتبارنامهها و پیکربندی اکثر آن سرورها قابل دسترسی است.
اسکریپت مذکور پس از اینکه ۷۵۰ مگابایت داده از ۱۴۸۵ آدرس IP جمعآوری کرد، متوقف شد. دادههای جمعآوری شده، شامل ۸۷۸۱ گذرواژه، ۶۵۰ کلید از نوع aws-secret-access-key، ۲۳ کلید از نوع secret-key و ۸ کلید از نوع private-key هستند. بنابراین مهاجمان احتمالی میتوانند با استفاده از این اعتبارنامههای سرقت شده، به سیستمها نفوذ کرده و اطلاعات بیشتری را استخراج کنند یا اینکه باجافزارهای مختلفی را برروی آنها مستقر کنند.
برای جلوگیری از این حمله و به منظور نصب امن etcd، ضروری است تا احراز هویت را فعال کرده و در صورت عدم استفاده، آن را خاموش کنید. یکی از راه حلهای دیگر، قرار دادن قانونی در فایروال برای جلوگیری از دسترسی افراد غیر مجاز برای جستوجو در سرور etcd است.
منبع: ایسنا