آسیب‌پذیری هزاران سرور متعلق به سازمان‌های خصوصی

موبنا – برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) چندی قبل‌تر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیق‌تر و شفاف‌تر از سوی مراجع ذی ربط احساس می‌شود و چراغ قرمزی بود برای مدیران سیستم‌های امنیتی سازمانها و ارگان‌ها و ادارات تا با استفاده راهکارهای لازم از سیستم‌ها محافظت و پشتیبانی کنند.
اخیرا اعلام شد که هزاران سرور متعلق به سازمان‌های خصوصی در معرض نشت اطلاعات مهم و اعتبارنامه‌های خود هستند. برای هکرها بسیار ساده است تا از اطلاعات معتبر لاگین برای دسترسی به سرورها و سرقت داده‌های حساس استفاده کنند. بر طبق گفته محققان و جست‌وجو در موتور جست‌وجوی Shodan، حدود ۲۳۰۰ سرور به صورت آنلاین از etcd آسیب‌پذیر استفاده می‌کنند.
etcd یک مخزن کلید-مقدار است که روشی مطمئن برای ذخیره داده در خوشه‌ای از ماشین‌هاست. این نوع از پایگاه داده معمولاً برای ذخیره و انتشار رمزهای عبور و پیکربندی تنظیمات میان سرورهای مختلف و برنامه‌های کاربردی استفاده می‌شود. etcd یک رابط برنامه‌نویسی را پیاده‌سازی می‌کند که قابلیت دریافت و پردازش درخواست‌ها را داشته و به صورت پیش فرض اطلاعات اعتباری لاگین مدیریتی را بدون احراز هویت برمی‌گرداند.
یکی از محققان برای تست آسیب‌پذیری etcd، یک اسکریپت ساده نوشته و آن را بر روی ۲۲۸۴ سرور etcd که از طریق سرویس shodan یافت شده بودند، اجرا کرد. پس از اجرا مشخص شد که اطلاعات مربوط به اعتبارنامه‌ها و پیکربندی اکثر آن سرورها قابل دسترسی است.
اسکریپت مذکور پس از اینکه ۷۵۰ مگابایت داده از ۱۴۸۵ آدرس IP جمع‌آوری کرد، متوقف شد. داده‌های جمع‌آوری شده، شامل ۸۷۸۱ گذرواژه، ۶۵۰ کلید از نوع aws-secret-access-key، ۲۳ کلید از نوع secret-key و ۸ کلید از نوع private-key هستند. بنابراین مهاجمان احتمالی می‌توانند با استفاده از این اعتبارنامه‌های سرقت شده، به سیستم‌ها نفوذ کرده و اطلاعات بیشتری را استخراج کنند یا اینکه باج‌افزارهای مختلفی را برروی آن‌ها مستقر کنند.
برای جلوگیری از این حمله و به منظور نصب امن etcd، ضروری است تا احراز هویت را فعال کرده و در صورت عدم استفاده، آن را خاموش کنید. یکی از راه حل‌های دیگر، قرار دادن قانونی در فایروال برای جلوگیری از دسترسی افراد غیر مجاز برای جست‌وجو در سرور etcd است.

 منبع: ایسنا