مهاجمان با نصب درب‌پشتی از بهره‌برداریِ آسیب‌پذیری Citrix ADC توسط دیگر گروه‌ها جلوگیری می‌کنند

به تازگی یک آسیب‌پذیری بحرانی در Citrix Application Delivery Controller (ADC) شناسایی شده است. یک گروه نفوذ با بهره‌برداری از این آسیب‌پذیری، درب‌پشتی خود را بر روی سیستم هدف نصب کرده و دیگر بدافزارهای موجود روی سیستم هدف را حذف می‌کنند. این درب‌پشتی همچنین از بهره‌برداری از این آسیب‌پذیری توسط گروه‌های نفوذ دیگر جلوگیری می‌کند. آسیب‌پذیری مورد نظر دارای شناسه‌ی CVE-2019-19781 بوده و محصولات Citrix ADC و Gateway را تحت تاثیر قرار داده است. اسکن سیستم‌های آسیب‌پذیر چند هفته قبل آغاز شده و بهره‌برداری چند روز قبل به‌طور عمومی منتشر شده است.

ده‌ها هزار سیستم آسیب‌پذیر شناسایی شده و این عجیب نیست که با این تعداد بالا، گروه‌های نفوذ بهره‌برداری از این آسیب‌پذیری را شروع کنند. همچنین لازم به ذکر است که شرکت Citrix آسیب‌پذیری را وصله نکرده و فقط راه‌کار حفاظتی ارائه داده است. در یکی از حملات، مهاجمان بدافزارهای شناخته‌شده را از روی سیستم هدف پاک کرده و یک بار داده‌ی دیده‌نشده به نام NOTROBIN را بر روی سیستم آپلود می‌کنند. این بدافزار از بهره‌برداری‌های آتی از این آسیب‌پذیری جلوگیری به عمل می‌آورد. این بدافزار از نوع درب‌پشتی است و دسترسی‌های ماندگار برای مهاجمان در آینده را فراهم می‌کند.

برای آلوده کردن سیستم، مهاجمان بری اجرای دستورات شل از آسیب‌پذیری CVE-2019-19781 بهره‌برداری می‌کنند. بهره‌برداری با یک درخواست HTTP POST شروع می‌شود که منجر به پاسخ HTTP 404 می‌شود. در ادامه‌ی فرآیند آلوده‌سازی، یک اسکریپت بش یک خطی اجرا شده و بدافزارهای استخراج رمزارز را حذف می‌کند.

یک فولدر مخفی ایجاد کرده و بار داده‌ی NOTROBIN را داخل آن دانلود می‌کند و به سازوکار پایداری بر روی سیستم هدف دست می‌یابد. این بار داده به زبان GO نوشته شده و به‌طور متناوب سیستم را اسکن کرده و برخی از فایل‌ها را حذف می‌کند تا از بهره‌برداری از این آسیب‌پذیری توسط مهاجمان دیگر جلوگیری کند. محققان امنیتی دریافتند بار داده‌ی NOTROBIN با استفاده از کلیدهای منحصربفرد توسعه یافته و کد بر روی پورت ۱۸۶۳۴ پروتکل UDP به درخواست‌ها گوش داده و داده‌ها را دریافت می‌کند.

منبع

Related posts

Leave a Comment

2 × سه =