بهره‌برداری نفوذگران از فرآیند به‌روزرسانی ایسوس برای نصب درب‌پشتی

مدیر

طبق گزارش ESET، گروه جاسوسی سایبری BlackTech در فرآیند به‌روزرسانی برنامه‌ی WebStorage ایسوس حملات مرد میانی (MitM) انجام داده است تا درب پشتی Plead را در بین قربانیان هدف خود توزیع کنند. این حملات در پایان ماه آوریل سال جاری اتفاق افتاد و شامل ایجاد و اجرای درب پشتی Plead توسط AsusWSPanel.exe، فرآیند قانونی و مجاز کلاینت ویندوز در خدمات ذخیره‌سازی ابری ایسوس، بود.

فایل اجرایی با نام Asus Webstorage Update.exe به‌صورت دیجیتالی توسط ASUS Cloud Corporation امضا شده است، بنابراین نشان می‌دهد که نفوذگران احتمالاً به سازوکار به‌روزرسانی دسترسی داشته‌اند، زیرا AsusWSPanel.exe می‌تواند در طول فرآیند به‌روزرسانی نرم‌افزار، فایل‌هایی با چنین نام‌هایی ایجاد کند. ESET بیان می‌کند که ممکن است این حادثه یک حمله‌ی زنجیره‌ی تأمین به خدمات ابری WebStorage  ایسوس یا نتیجه‌ی یک حمله‌ی مرد میانی بوده باشد، به این دلیل که باینری‌های WebStorage   در طول فرآیند به‌روزرسانی از طریق HTTP توزیع می‌شوند.

اگرچه اخیراً حملات زنجیره‌ی تأمین متعددی رخ داده است و حتی ASUS نیز به‌تازگی قربانی چنین حمله‌ای شده است، به‌نظر می‌رسد این حادثه از طریق یک حمله‌ی مرد میانی رخ داده است. مسأله این است که علاوه‌بر استفاده از یک اتصال رمزنگاری‌نشده برای توزیع به‌روزرسانی‌های نرم‌افزار، این سازوکار، باینری بارگیری‌شده را قبل از اجرا اعتبارسنجی نمی‌کند. بنابراین درصورتی‌که مهاجمان جلوی فرآیند به‌روزرسانی را بگیرند، می‌توانند یک به‌روزرسانی مخرب را جایگزین کنند.

به‌گفته‌ی ESET، نفوذگران احتمالاً مسیریاب‌ها را در معرض خطر قرار داده‌اند و از دسترسی به این دستگاه‌ها برای انجام حملات مرد میانی استفاده کرده‌اند. گفته شده است که اپراتورهای بدافزار Plead قبلاً روی آسیب رساندن به مسیریاب تمرکز می‌کردند و ESET کشف کرده است که بسیاری از سازمان‌هایی که تحت تأثیر حملات اخیر قرار گرفته‌اند، مسیریاب‌هایی دارند که توسط همان تولیدکننده ساخته شده و دارای پنل‌های مدیریتی قابل دسترسی از طریق اینترنت است. پژوهش‌گران امنیتی ESET معتقدند که محتمل‌ترین سناریو انجام یک حمله‌ی مرد میانی در سطح مسیریاب است.

آن‌ها تشریح کردند که سازوکار به‌روزرسانی WebStorage ایسوس شامل یک درخواست ارسال‌شده توسط کلاینت برای به‌روزرسانی است که سرور در فرمت XML به همراه یک راهنما و یک لینک به آن پاسخ می‌دهد. سپس این نرم‌افزار براساس اطلاعات موجود در راهنما بررسی می‌کند که اگر نسخه‌ی نصب‌شده قدیمی‌تر باشد، باینری به‌روزرسانی را از طریق لینک ارائه‌شده درخواست کند. بنابراین مهاجمان می‌توانند به‌روزرسانی را از طریق جایگزینی این دو عنصر بااستفاده از داده‌های خود انجام دهند.

ESET در پایان نتیجه‌گیری می‌کند که مهاجمان مختلف در سراسر جهان روزبه‌روز از حملات مرد میانی و زنجیره‌ی تأمین بیشتری استفاده می‌کنند. به همین دلیل برای توسعه‌دهندگان نرم‌افزار بسیار مهم است که نه تنها بر محیط اطراف خود برای مقابله با نفوذهای احتمالی نظارت کنند، بلکه سازوکارهای به‌روزرسانی مناسبی در محصولات خود پیاده‌سازی کنند که در برابر حملات مرد میانی مقاوم باشند.

منبع

پست‌های مشابه

Leave a Comment