تحذير: هجمات جديدة تستهدف Juniper Firewalls و Openfire و Apache RocketMQ. كشفت تقارير متعددة أن ثغرات أمنية حديثة تم الكشف عنها في أنظمة Juniper firewalls و Openfire و Apache RocketMQ تتعرض للاستغلال النشط في العالم ال wild.
قالت مؤسسة Shadowserver Foundation إنها “ترى محاولات استغلال متعددة من عناوين IP متعددة لـ Juniper J-Web CVE-2023-36844 (& friends) التي تستهدف نقطة النهاية /webauth_operation.php”. في نفس اليوم الذي أصبح فيه دليل إثبات ال concept (PoC) متاحًا.
تتبع هذه المشكلات CVE-2023-36844 و CVE-2023-36845 و CVE-2023-36846 و CVE-2023-36847. وتوجد في مكون J-Web في Junos OS على أنظمة Juniper SRX و EX Series. يمكن ربطها بواسطة attacker غير مُؤَهَّل قائم على الشبكة لتنفيذ تعليمات برمجية عشوائية على الأنظمة المعرضة للخطر.
تم إصدار تصحيحات للثغرة في 17 أغسطس 2023. بعد أسبوع من نشر مختبرات watchTowr Labs دليل إثبات ال concept (PoC) من خلال الجمع بين CVE-2023-36846 و CVE-2023-36845 لتشغيل ملف PHP يحتوي على shellcode ضار.
حاليًا هناك أكثر من 8200 جهاز Juniper يحتوي على واجهات J-Web الخاصة به Exposed إلى الإنترنت. معظمها من كوريا الجنوبية. والولايات المتحدة . وهونغ كونغ . وإندونيسيا. وتركيا. والهند.
يستغل Kinsing ثغرة أمنية في Openfire
تم تسخير ثغرة أمنية أخرى من قبل الجهات الفاعلة في التهديد وهي CVE-2023-32315. وهي ثغرة traversal path عالية الخطورة في وحدة تحكم Openfire الإدارية والتي يمكن استخدامها لاستغلال تنفيذ التعليمات البرمجية عن بُعد.
“تسمح هذه الثغرة لمستخدم غير مصرح به باستغلال بيئة إعداد Openfire غير المعتمدة في تكوين Openfire المُنشأ”. كما قالت شركة الأمن السيبراني Aqua.
“ونتيجة لذلك ، يحصل فاعل التهديد على access إلى ملفات إعداد admin التي عادة ما تكون مقيدة داخل وحدة تحكم Openfire Admin Console. بعد ذلك. يمكن لفاعل التهديد أن يختار إما إنشاء مستخدم admin إلى وحدة التحكم أو تحميل plugin والذي سيسمح في النهاية بالتحكم الكامل في الخادم.”
بينما تم رصد الجهات الفاعلة المرتبطة ببوتنت malware Kinsing وهي تستغل الثغرة لإنشاء مستخدم admin جديد وتحميل ملف JAR. والذي يحتوي على ملف يسمى cmd.jsp الذي يعمل ك shell web لإسقاط وتنفيذ malware و a cryptocurrency miner.
قالت Aqua إنها وجدت 6419 خادمًا متصلاً بالإنترنت يعمل به خدمة Openfire. مع وجود غالبية الInstances في الصين والولايات المتحدة والبرازيل.
تستهدف ثغرة أمنية في Apache RocketMQ بواسطة DreamBus Botnet
في إشارة إلى أن الجهات الفاعلة في التهديد دائمًا في lookout for ثغرات جديدة للاستغلال ، تم رصد إصدار محدث من malware botnet DreamBus يستغل ثغرة أمنية عن بعد لتنفيذ التعليمات البرمجية في خوادم RocketMQ للخطر.
CVE-2023-33246. كما تم تصنيف المشكلة. هي ثغرة في تنفيذ التعليمات البرمجية عن بُعد تؤثر على إصدارات RocketMQ 5.1.0 وما دون والتي تسمح ل attacker غير مُؤَهَّل بتشغيل الأوامر بنفس مستوى access لـ عملية نظام user.
في الهجمات التي تم اكتشافها من قبل مختبرات Juniper Threat Labs منذ 19 يونيو 2023. يؤدي الاستغلال الناجح للثغرة إلى تمهيد الطريق لنشر ملف bash يسمى “reketed”. والذي يعمل كبرنامج تنزيل لبوتنت DreamBus من خدمة TOR hidden.
DreamBus هو malware يعتمد على Linux وهو variant من SystemdMiner وهو مصمم لتعدين cryptocurrency على الأنظمة المصابة. نشط منذ أوائل عام 2019.
في النهاية أرجو أن تكون هذه المقالة مفيدة. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.