خلاصه: گزارش FBI از تلاش هکرهای ایرانی برای سوءاستفاده از آسیبپذیری F5 Big IP که در شرکتها، نهادهای دولتی و بانکهای ایالات متحده استفاده میشود. در صورت تسخیر شبکه هدف، اطلاعات حساس آن میتواند جمعآوری شده و به سرقت رود و به سایر هکرها یا دولت ایران فروخته شود. بعلاوه حمله موفّق میتواند به استقرار باجافزار در شبکه قربانی منجر شود و اعتبارنامههای آن را برای دسترسی به سایر تجهیزات شبکه برباید. نهایتاً در گزارش FBI، مشخصههای تسخیر، تاکتیکها، فنون و رویههایی برای تشخیص حملات به سازمانها پیشنهاد شده است.
هشدار FBI: تلاش هکرهای ایرانی برای سوءاستفاده از آسیبپذیری F5 Big IP که در شرکتها، نهادهای دولتی و بانکهای ایالات متحده استفاده میشود. این آسیبپذیری از نوع «اجرای کد از راه دور» بوده و برای سوءاستفاده از آن نیازی به احراز اصالت مهاجم نیست. ریشه آسیبپذیری در بخش «کنترلکننده تحویل برنامه» یا ADC این تجهیزات است. شرکت سازندهی این تجهیزات - F5- برای رفع این آسیبپذیری به شناسه CVE-2020-5902 و با امتیاز مبنای ۱۰.۰ طبق استاندارد CVSS، بهروزرسانی امنیتی ارائه کرده است.
سازمان اطلاعات و امنیت داخلی آمریکا (CISA)، اوایل هفتهی جاری، از حمله هکرهای منتسب به ایران به دستگاههای F5 Big IP ، از اوایل جولای ۲۰۲۰ خبر داد(آسیبپذیری CVE-2020-5902 سوم جولای ۲۰۲۰ منتشر شده است). این سازمان حمله موفّق به ۲ سازمان با سوءاستفاده از این آسیبپذیری را نیز تائید کرد.
سازمان اطلاعات و امنیت داخلی آمریکا (CISA): «از ششم جولای ۲۰۲۰، CISA اسکن وسیع ادارات و دفاتر فدرال را در جستجوی وجود این آسیبپذیری در تجهیزات شناسایی کرد».
عواقب حمله به تجهیزات F5 Big IP
FBI هشدار داد که در صورت تسخیر شبکه هدف، اطلاعات حساس آن میتواند جمعآوری شده و به سرقت رود و به سایر هکرها یا دولت ایران فروخته شود. بعلاوه حمله موفّق میتواند به استقرار باجافزار در شبکه قربانی منجر شود و اعتبارنامههای آن را برای دسترسی به سایر تجهیزات شبکه برباید.
حملات سابق این گروه هکری
به گزارش FBI، این مهاجمین پیشتر چندین حمله به VPN های آسیبپذیر از آگوست ۲۰۱۹ صورت دادهاند. ازجمله این حملات میتوان به حمله به Pulse secure با سوءاستفاده از آسیبپذیریهای CVE-2019-11510 و CVE-2019-11539 و Citrix ADC/Gateway با سوءاستفاده از آسیبپذیری CVE 2019-19781 اشاره کرد.البته این حملات به موارد ذکرشده محدود نمیشوند. تا کنون این گروه تهدید بخشهای مختلف ایالات متحده آمریکا از جمله سازمانهای دفاعی، بخشهای سلامت، اقتصادی و اطلاعاتی و رسانه را هدف قرار داده است.
در این گزارش، FBI به سازمانها هشدار داد که پس از حمله، اعمال بهروزرسانیها و وصلههای امنیتی کافی نیست. چرا که این گروه هکری با استفاده از وبشل، در پشتی مانا ایجاد کرده و با سرقت اعتبارنامههای سیستم هدف، امکان کسب دسترسی مجدد را برای خود فراهم میکند. نهایتاً در گزارش FBI، شاخصهای تسخیر (IoC)، تاکتیکها، فنون و رویههایی برای تشخیص حملات به سازمانها پیشنهاد شده است.
اقدامات تشخیص و بازیابی
با این پیشفرضکه هر دستگاه وصلهنشدهای احتمالاً توسط هکرها تسخیر شده است؛ توصیهی شرکت F5 به مدیر شبکه، استفاده از ابزارهای تشخیص IoC این آسیبپذیری و اسکن محیط کاریست.
همچنین طی کردن مراحل زیر برای رفع این آسیبپذیری توصیه شده است:
- قرنطینه و قطع اتصال اینترنت دستگاههای آلوده
- جمعآوری و ارزیابی اطلاعاتی چون پردازهها و سرویسهای در حال اجرا، احراز هویتهای غیرمعمول و اتصالات اخیر به شبکه
- پیادهسازی امضای snort ایجادشده توسط شرکت CISA برای تشخیص فعالیتهای مخرب
در صورت وجود نشانههای حمله برای بازیابی، انجام مراحل زیر در دستگاههای آلوده توصیه شده است:
- بازگردانی مجدد دستگاههای آلوده
- تغییر دادن اطلاعات احراز هویت
- محدود کردن امکانات مدیریتی تجهیزات به حداقل ممکن
- اجرای بخشبندی شبکه
