يحذر تنبيه أمني جديد صادر عن مكتب التحقيقات الفيدرالي (FBI) وCISA من شبكة الروبوتات الجديدة التي تستهدف حسابات Microsoft وAmazon Web Services من خلال استغلال ثلاث نقاط ضعف معروفة.
قام مكتب التحقيقات الفيدرالي (FBI) بتنبيه مستخدمي الإنترنت بشأن شبكة الروبوتات الجديدة، والتي يتم تشغيلها بواسطة برنامج Androxgh0st الخبيث. يقوم الأخير بفحص أجهزة الكمبيوتر والخوادم بحثًا عنهاالثغرات الأمنية CVE-2017-9841 وCVE-2021-41773 وCVE-2018-15133، والتي تسمح بتنفيذ التعليمات البرمجية عن بعد على الأنظمة الضعيفة.
يستخدم المهاجمون Androxgh0st لسرقة ملفات .env التي تحتوي على معلومات حساسة، مثل بيانات اعتماد تسجيل الدخول إلى حساب Microsoft وAWS.يمكن بعد ذلك استخدام بيانات الاعتماد هذه للوصول إلى الموارد السحابية وقواعد البيانات المملوكة للضحايا.
اقرأ أيضا-تعود هذه البرامج الضارة الخطيرة بعد 3 أشهر فقط من نهايتها المعلنة
مكتب التحقيقات الفيدرالي يحذر المستخدمين
يمكن لـ Androxgh0st أيضًا استخدام بروتوكول البريد البسيط (SMTP) للتحقق من حد الإرسال لحسابات البريد الإلكتروني الموجودة على الأجهزة المخترقة. إذا كان الحد مرتفعًا بدرجة كافية، فيمكن للبرامج الضارة إطلاق حملات التصيد الاحتيالي والبريد العشوائي لنشر أواحصل على المزيد من المستخدمين لتقديم بيانات الاعتماد الخاصة بهم.
بالإضافة إلى ذلك، يمكن للمهاجمين استخدام بيانات اعتماد Microsoft وAWS لإنشاء صفحات مزيفة على مواقع الويب المستضافة على الخوادم المخترقة. يمكن أن تكون هذه الصفحات المزيفة بمثابة أبواب خلفية للوصول إلى بيانات أخرى أو لإصابة الزوار الآخرين بفيروس Androxgh0st.
يحث مكتب التحقيقات الفيدرالي (FBI) وCISA المنظمات على اتخاذ إجراءات فورية لحماية أنفسهم من شبكة الروبوتات هذه.ويوصون بتحديث أنظمة التشغيل والبرامج والبرامج الثابتة لجميع الأجهزةوتأكد من أن خوادم Apache لا تستخدم الإصدارات 2.4.49 أو 2.4.50، المعرضة لـ CVE-2021-41773.
كما ينصحون المؤسسات بتكوين عناوين URI الخاصة بها لرفض جميع الطلبات بشكل افتراضي ما لم تكن هناك حاجة محددة للسماح بها. بالإضافة إلى ذلك، يقترحون أن تطبيقات Laravel لا ينبغي أن تكون في وضع التصحيح أو الاختبار، ولا ينبغي تخزين بيانات الاعتماد السحابية في ملفات .env.
هناك حاجة ملحة لحماية أنفسنا، كما حذر مكتب التحقيقات الفيدرالي وCISA من ذلكيتم استغلال الثغرة الأمنية CVE-2018-15133 بشكل نشط بواسطة شبكة الروبوتات.تسمح هذه الثغرة الأمنية للمهاجمين بتنفيذ تعليمات برمجية عشوائية عن طريق إرسال طلبات معدة خصيصًا للتطبيقات.