آسیب‌پذیری اجرای کد از راه دور، گریبان VMware را نیز گرفت

شرکت VMware دوشنبه‌ی هفته‌ی گذشته اعلام کرد آسیب‌پذیری که در آپاچی Struts۲ کشف شده بود و در دنیای واقعی مورد بهره‌برداری قرار می‌گرفت، چند محصول این شرکت را نیز تحت تأثیر قرار داده است.

آسیب‌پذیری اجرای کد از راه دور با شناسه‌ی CVE-۲۰۱۷-۵۶۳۸ توسط کارشناسان شرکت VMware فاجعه‌بار معرفی شد. این آسیب‌پذیری نسخه‌های ۶.x و ۷.x از بستر دسکتاب به‌عنوان سرویس VMware Horizon، کارگزار vCenter نسخه‌ی ۶.۰ و ۶.۵ و مدیر عملیات vRealize و کارگزار vRealize Hyperic را تحت تأثیر قرار می‌دهد.

محصول vCenter با نسخه‌ی ۵.۵ تحت تأثیر قرار نگرفته است و تا زمانی‌که وصله‌ها برای ۶.۰ و ۶.۵ ارائه نشده، به کاربران توصیه شده تا سرویس چارت کارایی را غیرفعال کنند تا در معرض حملات بالقوه قرار نگیرند. سیسکو نیز بررسی‌هایی را شروع کرده تا تشخیص دهد کدام یک از محصولات این شرکت تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند. سیسکو ابتدا اعلام کرده بود ۳ محصول از این شرکت در معرض خطر قرار دارد و تا به حال، این تعداد به ۱۰ محصول رسیده و محصولات دیگری نیز در حال بررسی هستند.

آسیب‌پذیری آپاچی Struts۲ در تجزیه‌کننده‎ی Jakarta Multipart وجود دارد و به‌دلیل تحلیل نادرست بر روی مقدار نوع محتوا در سرآیند بوجود می‌آید. یک مهاجم می‌تواند از راه دور و بدون انجام احراز هویت، با ارسال درخواست‌های جعلی HTTP از این آسیب‌پذیری بهره‎برداری کرده و دستورات دلخواه خود را اجرا کند.

این آسیب‌پذیری ۱۶ اسفند با انتشار نسخه‌های ۲.۳.۳۲ و ۲.۵.۱۰.۱ وصله شد. اولین حمله نیز یک روز بعد از انتشار کد اثبات مفهومی این آسیب‌پذیری به‌طور عمومی مشاهده شد. شرکت Imperva گزارش کرد چند روز بعد از انتشار این کد اثبات مفهومی، تلاش‌های زیادی برای انجام حمله را مشاهده کرده است. این حملات به ۱۳۰۰ آدرس IP منحصربفرد در بیش از ۴۰ کشور ردیابی شده است. گفته می‌شود بیشترین تلاش‌ها برای انجام حمله در کشورهای چین و آمریکا با ۶۷ و ۱۷ درصد از حملات بوده است.

به گفته‌ی این شرکت امنیتی، نزدیک به ۹۰ درصد از مهاجمان ۱۰ برنامه‌ را هدف قرار داده‌اند ولی بقیه مهاجمان در حال حمله به ۱۸۱ برنامه‌ی مختلف هستند. محققان امنیتی اشاره کردند در اکثریت حملات، مهاجمان تلاش دارند وجود آسیب‌پذیری بر روی برنامه‌ی مورد نظر را آزمایش کنند.
در برخی از حملات مشاهده شده مهاجم پرونده‌هایی را از کارگزار راه دور بارگیری و نصب کرده است. پنل مدیریتی که بر روی یکی از این کارگزارها کشف شده، نشان می‌دهد برخی از پرونده‌ها صدها بار بارگیری شده‌اند. سازمان بودجه‌ی کانادا، پس از اینکه متوجه این آسیب‌پذیری شد، به مدت ۴۸ ساعت وب‌گاه خود را از حالت برخط خارج کرد. این سازمان گفت این خاموشی وب‌گاه در یک اقدام محتاطانه صورت گرفته و در اثر حمله نبوده است.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.