Η Progress Software, η κατασκευάστρια εταιρεία της πλατφόρμας ανταλλαγής αρχείων MOVEit Transfer, η οποία χρησιμοποιήθηκε πρόσφατα σε εκτεταμένες επιθέσεις κλοπής δεδομένων, προειδοποίησε τους πελάτες της να επιδιορθώσουν μια ευπάθεια μέγιστης σοβαρότητας στο λογισμικό WS_FTP Server.
Η εταιρεία αναφέρει ότι χιλιάδες ομάδες πληροφορικής παγκοσμίως χρησιμοποιούν το λογισμικό ασφαλούς μεταφοράς αρχείων WS_FTP Server επιχειρηματικής ποιότητας.
Σε μια συμβουλευτική που δημοσιεύθηκε την Τετάρτη, η Progress αποκάλυψε πολλαπλές ευπάθειες που επηρεάζουν τη διεπαφή διαχειριστή του λογισμικού και το Ad hoc Transfer Module.
Από όλα τα κενά ασφαλείας του WS_FTP Server που επιδιορθώθηκαν αυτή την εβδομάδα, δύο από αυτά αξιολογήθηκαν ως κρίσιμα, με το ένα που παρακολουθείται ως CVE-2023-40044 να λαμβάνει μέγιστη βαθμολογία σοβαρότητας 10/10 και να επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν απομακρυσμένες εντολές μετά από επιτυχή εκμετάλλευση μιας ευπάθειας αποδιαταξικοποίησης .NET στο Ad Hoc Transfer Module.
Το άλλο κρίσιμο σφάλμα (CVE-2023-42657) είναι μια ευπάθεια διάσχισης καταλόγου που επιτρέπει στους επιτιθέμενους να εκτελούν λειτουργίες αρχείων εκτός της εξουσιοδοτημένης διαδρομής του φακέλου WS_FTP.
Σύμφωνα με την αξιολόγηση CVSS:3.1 της εταιρείας και για τις δύο ευπάθειες, οι επιτιθέμενοι μπορούν να τις εκμεταλλευτούν με επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Έχουμε αντιμετωπίσει τις παραπάνω ευπάθειες και η ομάδα Progress WS_FTP συνιστά ανεπιφύλακτα την πραγματοποίηση αναβάθμισης”, προειδοποίησε η Progress.
“Συνιστούμε την αναβάθμιση στην υψηλότερη έκδοση που είναι η 8.8.2. Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας τον πλήρη εγκαταστάτη, είναι ο μόνος τρόπος για την αποκατάσταση αυτού του προβλήματος. Θα υπάρξει διακοπή λειτουργίας του συστήματος κατά τη διάρκεια της αναβάθμισης”.
Η εταιρεία κοινοποίησε επίσης πληροφορίες σχετικά με τον τρόπο αφαίρεσης ή απενεργοποίησης του ευάλωτου WS_FTP Server Ad Hoc Transfer Module, εάν δεν χρησιμοποιείται.
2.100 επιτυχημένες επιθέσεις κλοπής δεδομένων MOVEit και συνεχίζεται η καταμέτρηση
Η Progress εξακολουθεί να αντιμετωπίζει τα επακόλουθα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων μετά την εκμετάλλευση μιας μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer από τη συμμορία ransomware Clop από τις 27 Μαΐου.
Σύμφωνα με τις εκτιμήσεις που μοιράστηκε η εταιρεία ασφαλείας Emsisoft τη Δευτέρα, οι επιπτώσεις αυτών των επιθέσεων έχουν επηρεάσει περισσότερους από 2.100 οργανισμούς και πάνω από 62 εκατομμύρια άτομα.Παρά την ευρεία εμβέλεια και τον μεγάλο αριθμό θυμάτων, οι εκτιμήσεις της Coveware υποδηλώνουν ότι μόνο ένας περιορισμένος αριθμός είναι πιθανό να υποκύψει στις απαιτήσεις λύτρων της Clop. Παρόλα αυτά, η ομάδα κυβερνοεγκληματιών αναμένεται να εισπράξει περίπου 75-100 εκατομμύρια δολάρια σε πληρωμές λόγω των υψηλών απαιτήσεων λύτρων.
Επιπλέον, έχουν επίσης εμφανιστεί αναφορές που δείχνουν ότι πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ και δύο οντότητες που υπάγονται στο Υπουργείο Ενέργειας των ΗΠΑ (DOE) έχουν πέσει θύματα των επιθέσεων κλοπής δεδομένων της Clop.
Η Clop έχει συνδεθεί με πολλαπλές εκστρατείες κλοπής δεδομένων και εκβιασμών υψηλού αντίκτυπου που στόχευαν άλλες πλατφόρμες διαχειριζόμενης μεταφοράς αρχείων, συμπεριλαμβανομένων των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, των επιθέσεων SolarWinds Serv-U Managed File Transfer το 2021 και της μαζικής zero-day εκμετάλλευσης στο GoAnywhere MFT τον Ιανουάριο του 2023.
Την Τρίτη, η Progress Software ανακοίνωσε αύξηση των εσόδων της κατά 16% σε σχέση με το προηγούμενο έτος για το τρίτο οικονομικό τρίμηνο που έληξε στις 31 Αυγούστου 2023, σε έντυπο 8-K που κατατέθηκε στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ.
Η Σκοτεινή Πλευρά των Exploits: Προκλήσεις και Προστασία
Τα exploits αντιπροσωπεύουν μια σημαντική πτυχή του κυβερνοχώρου, καθώς αναδεικνύουν τις ευπάθειες στο λογισμικό, τα λειτουργικά συστήματα και τις εφαρμογές. Ως εργαλεία που εκμεταλλεύονται αδυναμίες, τα exploits αντιπροσωπεύουν τόσο μια απειλή όσο και μια ευκαιρία για τους κυβερνοεπιθέτες. Ας εξερευνήσουμε περαιτέρω αυτήν τη σύνθετη και σημαντική πτυχή του κυβερνοχώρου.
Τι είναι τα Exploits;
Τα exploits αναφέρονται σε κακόβουλο κώδικα ή τεχνικές που χρησιμοποιούνται για να εκμεταλλευτούν ευπάθειες σε ένα σύστημα, προκειμένου να επιτευχθούν σκοποί που δεν είναι εξουσιοδοτημένοι. Οι ευπάθειες μπορεί να αφορούν ελαττώματα στο λογισμικό, μη ασφαλή ρυθμίσεις ή κενά στην ασφάλεια.
Κατηγορίες Exploits:
Buffer Overflow:
Εκμεταλλεύονται την υπέρβαση των ορίων ενός buffer στον χώρο της μνήμης, προκαλώντας ανεπιθύμητη συμπεριφορά.
SQL Injection:
Εισχωρούν κακόβουλοι κώδικες στα SQL ερωτήματα, παραβιάζοντας βάσεις δεδομένων.
Cross-Site Scripting (XSS):
Επιτρέπουν σε επιτιθέμενους να ενθυμίσουν κακόβουλο κώδικα στους χρήστες σε ιστοσελίδες.
Zero-Day Exploits:
Εκμεταλλεύονται ευπάθειες που δεν έχουν ακόμη γνωστοποιηθεί στον κατασκευαστή ή τον πάροχο.
Οι Επιπτώσεις των Exploits:
Απώλεια Δεδομένων:
Οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Εκτέλεση Κακόβουλου Κώδικα:
Ο κακόβουλος κώδικας μπορεί να εκτελεστεί στον υπολογιστή του θύματος.
Αποκάλυψη Επιχειρηματικών Μυστικών:
Εάν ο στόχος είναι εταιρικός, τα exploits μπορεί να αποκαλύψουν επιχειρηματικά μυστικά.
Ας εξετάσουμε πώς λειτουργούν και ποια είναι τα βασικά στάδια μιας επίθεσης με χρήση exploit:
Εντοπισμός Ευπαθειών:
Οι επιτιθέμενοι ψάχνουν για ευπάθειες στο λογισμικό ή το σύστημα. Αυτές μπορεί να είναι αδυναμίες ασφαλείας, λάθη κώδικα, ή μη ασφαλείς ρυθμίσεις.
Ανάπτυξη του Exploit:
Με βάση τις ευπάθειες που εντοπίστηκαν, οι επιτιθέμενοι δημιουργούν ένα κακόβουλο πρόγραμμα ή σενάριο που εκμεταλλεύεται αυτές τις ευπάθειες. Αυτό το κακόβουλο πρόγραμμα ονομάζεται exploit.
Εκτέλεση του Exploit:
Ο επιτιθέμενος προσπαθεί να χρησιμοποιήσει το exploit για να εκτελέσει κακόβουλο κώδικα ή να κερδίσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
Εγκατάσταση του Payload:
Εάν η επίθεση είναι επιτυχής, ο κακόβουλος κώδικας που εκτελέστηκε (γνωστός και ως “payload”) εγκαθιστά προγράμματα ή εκτελεί ενέργειες που εξυπηρετούν τους σκοπούς του επιτιθέμενου.
Προστασία και Αντιμετώπιση:
Ενημέρωση Συστημάτων:
Συχνές ενημερώσεις λογισμικού και λειτουργικών συστημάτων.
Χρήση Firewalls και Ανιχνευτών Απειλών:
Οι firewalls μπορούν να περιορίσουν την πρόσβαση, ενώ οι ανιχνευτές απειλών εντοπίζουν ασυνήθιστες δραστηριότητες.
Ασφαλής Προγραμματισμός:
Η ανάπτυξη λογισμικού με ασφαλείς πρακτικές μειώνει τις ευπάθειες.
Εκπαίδευση Χρηστών:
Οι χρήστες πρέπει να είναι ενημερωμένοι για τους κινδύνους και τις προστατευτικές πρακτικές.
Σίγουρα όσοι έχουν βρει ένα τρωτό σημείο σε μία ιστοσελίδα και το έχουν εκμεταλλευτεί, θα απορούν και που βρίσκεται το Panel, δηλαδή η σελίδα «σύνδεσης» του Admin έτσι ώστε να βάλουν τα στοιχεία και να πάρουν πρόσβαση.
Κάποιοι όπως και εγώ, κάνουμε δοκιμές στο url της ιστοσελίδας όπως « /admin, /admin/login.php, /wp-admin, /wp-login κ.τ.λ. » έλα όμως που κάποιες φορές αυτό δεν λειτουργεί και είμαστε σε σκέψεις τύπου… -Τι γίνεται ρε δεν έχει panel; -Το έχουν κρυμμένο; Η απάντηση είναι πως μπορεί όντως να μην το έχουν εμφανές αυτό το Panel λοιπόν και να βρίσκεται κάπου αλλού. Σε αυτήν την ανάρτηση όμως θα μάθουμε πως να το βρίσκουμε σε περίπτωση που το Website το έχει εμφανές το Panel του.
Γι’ αυτό θα σας «πλασάρω» ένα προγραμματάκι που λειτουργώ στο Linux μου και είναι κατεβασμένο από το Github (Κάποιοι από εσάς το γνωρίζετε).
Πάμε να δούμε από που μπορούμε να το κατεβάσουμε λοιπόν.
Το προγραμματάκι λέγεται Breacher.
Αφού πάμε σε αυτό το Link: ” https://github.com/s0md3v/Breacher ” πατάμε εκεί που λέει Code πάνω δεξιά και αντιγράφουμε το Link που έχει μέσα.
Θα σας το βάλω εδώ να μην το ψάχνετε:
https://github.com/s0md3v/Breacher.git
Αφού λοιπόν το κάνετε αντιγραφή, πάμε μετά στο terminal μας και γράφουμε τον εξής κώδικα
Όταν λοιπόν κατεβεί το προγραμματάκι μας το οποίο έχει φτιαχτεί με γλώσσα Python, θα πρέπει να το τρέξουμε. (ΠΡΟΣΟΧΗ! Πρέπει να χρησιμοποιείτε την Python 3 για να λειτουργίσει. Υπάρχουν αναλυτικά βιντεάκια στο YouTube για το πως να την κατεβάσετε).
Μην βιάζεστε τόσο όμως. Για να τρέξουμε το προγραμματάκι πρέπει να μπούμε και στον φάκελο που βρίσκεται. Σωστά; Σωστά.
Πάμε λοιπόν και γράφουμε τον παρακάτω κώδικα (Θα σας έχω και εικόνα γιατί το υποσχέθηκα στο προηγούμενό μου post)
cd Breacher/
Μπήκαμε στον φάκελο που είναι το πρόγραμμα! Τώρα θα πρέπει να τρέξουμε το πρόγραμμα βάζοντας και την ιστοσελίδα που θέλουμε να μάθουμε το Panel. Εγώ θα χρησιμοποιήσω το eviakosmos.
Δείτε παρακάτω πως
python3 breacher.py -u http://www.eviakosmos.gr/
Με το “ -u ” του δίνουμε εντολή και του λέμε θέλω να ψάξεις γι αυτήν την ιστοσελίδα “ -u = στόχος ”
Τώρα πατάμε Enter, και αρχίζει από κάτω και τρέχει ένα σωρό Links από μια wordlist. Δηλαδή; Όλα τα πιθανά. Όπως όταν θέλουμε να σπάσουμε hash από κωδικούς και τρέχουμε μία wordlist. Αυτή η μέθοδος ονομάζεται Brute Force.
Αφού τρέχει, μπορεί κάποια στιγμή να βρεί αυτό που θέλουμε. Πως θα το καταλάβουμε; Αντί για ” [ – ] ” θα έχει ” [ + ] ”
Ένας keylogger (ή keystroke logger) είναι ένα είδος κακόβουλου λογισμικού που καταγράφει τα πλήκτρα που πατάει ένας χρήστης σε έναν υπολογιστή ή άλλη συσκευή εισόδου. Τα keyloggers συγκεντρώνουν πληροφορίες σχετικά με τον τρόπο που πληκτρολογείτε, συμπεριλαμβανομένων των κωδικών πρόσβασης, των ονομάτων χρηστών, των μηνυμάτων email, και άλλων ευαίσθητων πληροφοριών.
Σήμερα θα σας δείξω πως να βρείτε που στέλνονται τα στοιχεία σας όταν χρησιμοποιούμε έναν keylogger.