ما هر روز در معرض نقاط ضعف امنیتی مختلف در نرم افزارهای مختلف قرار می گیریم، اما به ندرت اتفاق می افتد که هسته لینوکس توسط یک نقص بسیار تاثیر گذار خراب می شود. با این حال، به نظر می رسد همه چیز کمی متفاوت است زیرا میلیون ها سیستم لینوکس تحت تاثیر یک نقص عظیم قرار دارند.
گزارش شده است که نسخه های هسته قبل از 5.0.8 تحت تاثیر آسیب پذیری وضعیت نژادی قرار دارند. برای کسانی که آگاه نیستند، حملات وضعیت نژادی رخ می دهد زمانی که سیستم طراحی شده برای انجام وظایف در یک دنباله خاص برای انجام دو یا چند عملیات همزمان انجام می شود. در طول این حالت، تداخل می تواند ناشی از یک روند اعتماد / غیر قابل اطمینان باشد.
در مورد هسته های لینوکس قبل از 5.0.8، نقص وضعیت مسابقه در rds_tcp_kill_sock در net / rds / tcp.c کشف شد. "وضعیت نژادی منجر به استفاده پس از آزاد، مربوط به تمیز کردن فضای نام خالص"، اشاره CVE شرح نقص است.
شایان ذکر است که در پایگاه داده NIST این آسیب پذیری CVE-2019-11815 با نمره بالا 5.9 در فهرست شده است. با این حال، به دلیل اینکه این نقص برای بهره برداری دشوار است، امتیاز کم بهره برداری از 2.2 به دست می آید؛ امتیاز کلی پایه 8.1 است.
برای اطلاعات بیشتر، شما همچنین می توانید به توصیه های امنیتی از توزیع های مختلف لینوکس مراجعه کنید: دبیان، سرخپوشان، SUSE، اوبونتو.
همانطور که در کامپیوتر Bleeping، هکرها می توانند حمله به ماشین های لینوکس با استفاده از بسته های ویژه TCP ایجاد شده برای اجرای کد دلخواه را راه اندازی کنند.
لازم به ذکر است که این نقص در اواخر ماه مارس با انتشار کرنل لینوکس 5.0.8 ثابت شده است. بنابراین، شما توصیه می شود که هسته خود را در اسرع وقت به روز کنید و پچ را نصب کنید.
محققان امنیتی به ZDNet گفته اند که هکرها سرویس تجزیه و تحلیل خدمات Picreel و پروژه های open-source Alpaca Forms را نقض کرده اند و فایل های جاوا اسکریپت را در زیرساخت این دو شرکت برای اصلاح کد مخرب در بیش از 3600 وب سایت اصلاح کرده اند.
حمله در حال انجام است و اسکریپت های مخرب هنوز هم در حال پخش هستند در زمان انتشار این مقاله.
پیش از این هر دو هک شده توسط Willem de Groot، موسس امنیت Sanguine Security، دیده شده و چندین محقق امنیتی دیگر نیز تایید کرده اند.
Picreel خدمات تحلیلی است که اجازه می دهد صاحبان سایت ضبط آنچه کاربران انجام می دهند و نحوه ارتباط آنها با یک وب سایت برای تجزیه و تحلیل الگوهای رفتاری و افزایش نرخ مکالمه. مشتریان Picreel - صاحبان وب سایت ها - قصد دارند یک تکه کد جاوا اسکریپت را در سایت های خود بگذارند تا Picreel بتواند کار خود را انجام دهد. این اسکریپت است که هکرها برای اضافه کردن کد مخرب به خطر انداختند.
Alpaca Forms یک پروژه منبع باز برای ساخت فرم های وب است. این در ابتدا توسط سازمانی CMS ارائه شد که Cloud CMS و هشت سال پیش باز بود. Cloud CMS هنوز سرویس CDN رایگان (شبکه تحویل محتوا) را برای پروژه فراهم می کند. به نظر می رسد هکرها این CDN مدیریت شده توسط Cloud CMS را نقض کرده و یکی از اسکریپت های فرم Alpaca را اصلاح کرده است.
ZDNet برای شرکت در هر دو شرکت در نظر گرفته است. در مایکروسافت، مایکروسافت CTO CTO مایکروسافت در یک ایمیل به ZDNet گفت که هکرها تنها یک فایل جاوا اسکریپت فرم Alpaca را در CDN خود به خطر انداختند و هیچ چیز دیگری.
کد کپی رایگان تمام داده ها را وارد میدان های درون فرم می کند
در حال حاضر مشخص نیست که هکرها چگونه Picreel یا Alpaca Forms CDN Cloud CMS را نقض کردند. De Groot در مکالمه توییتر به ZDNet گفت که به نظر میرسد هک توسط همان بازیگر تهدید شده انجام شده است.
کدهای مخرب تمام کاربران محتوا را وارد قسمتهای فرم می کنند و اطلاعات را به یک سرور در پاناما ارسال می کنند. این شامل اطلاعاتی است که کاربران در صفحات پرداخت / پرداخت، فرمهای تماس و بخشهای ورود وارد میشوند.
کد مخرب که در اسکریپت Picreel تعبیه شده است بر روی 1449 وب سایت مشاهده شده است، در حالی که فرم Alpaca یکی از آن ها در 3،435 دامنه دیده می شود.
ابر CMS مداخله کرده و CDN را که در خدمت اسکریپت Alpaca Forms خدمت کرده است، برداشته است. این شرکت در حال بررسی این حادثه است و توضیح داد: «هیچ نقص امنیتی یا امنیت با Cloud CMS، مشتریان یا محصولات آن وجود نداشته است.» در حال حاضر هیچ مدرکی برای نشان دادن این وجود ندارد، مگر اینکه مشتریان Cloud CMS از اسکریپت فرم های Alpaca برای سایت های خود به صورت خود استفاده کنند.
تسلیحات تسلیحاتی، تهدید رو به رشد برای وب سایت ها
در دو سال گذشته، حملات مانند اینها کاملا رایج شده است. گروه های هکرها که به عنوان حملات زنجیره تامین شناخته شده اند متوجه شده اند که از بین بردن وب سایت های دارای مشخصات بالا به اندازه ساده ای به نظر نمی رسد و آنها شروع به هدف قرار دادن کسب و کارهای کوچکتر که "کد ثانویه" را به این وب سایت ها و هزاران نفر دیگر ارائه می کنند.
آنها ارائه دهندگان ویدجت های چت، ویجت های پشتیبانی زنده، شرکت های تحلیلی و غیره را هدف قرار دادند.
انگیزه ها بسته به گروه متفاوت است. به عنوان مثال، بعضی گروه ها شرکت های شخص ثالث را هک کرده اند تا اسکریپت های رمزنگاری را بکار ببرند، در حالی که دیگران از روش مشابهی برای راه اندازی کد خاص استفاده می کنند که تنها اطلاعاتی را که در فرم های پرداخت وارد شده است را خراب می کند.
حمله امروز متفاوت است، زیرا کاملا عمومی است، هر نوع فرم را بر روی یک وب سایت هدف قرار می دهد، صرف نظر از هدف.
صدها نفر از توسعه دهندگان، مخازن کد منبع Git را پاک کرده و با تقاضای جبران جایگزین کرده اند.
حملات آغاز شده در اوایل امروز، به نظر می رسد در سراسر خدمات میزبانی Git (GitHub، Bitbucket، GitLab) هماهنگ شده است، و هنوز مشخص نیست که چگونه آنها اتفاق می افتد.
چیزی که شناخته شده این است که هکر تمام کد منبع و دستورات اخیر را از مخزن Git vitcims حذف می کند و یک یادداشت جبران ناپذیر را پشت سر می گذارد که خواستار پرداخت 0.1 بیت کوین (~ 570 دلار) است.
هکر ادعا می کند که تمام کد منبع در یکی از سرورهای خود بارگیری و ذخیره می شود و قربانی ده روز به پرداخت جبران خسارت می پردازد؛ در غیر این صورت، آنها کد را عمومی می کنند.
برای بازیابی کد های از دست رفته خود و جلوگیری از نشت آن: ارسال 0.1 Bitcoin (BTC) به آدرس Bitcoin ما ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA و با ما تماس بگیرید با ایمیل در admin@gitsbackup.com با ورود به سیستم Git خود و اثبات پرداخت. اگر مطمئن نیستید که اطلاعات خود را داشته باشید، با ما تماس بگیرید و ما یک مدرک برای شما ارسال خواهیم کرد. کد شما در سرورهای ما دانلود و پشتیبان گیری می شود. اگر ما در 10 روز آینده پرداخت شما را دریافت نکنیم، کد شما را به صورت عمومی و یا از موارد دیگر استفاده می کنیم.
پرداخت در آدرس ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA بیتکوین، که، در زمان نوشتن، تا هر گونه وجوه دریافت نکرده درخواست شده است.
سکه های مرگ و میر و شمارش
جستجوی GitHub نشان می دهد که تا کنون حداقل 392 مخزن GitHub مورد استفاده قرار گرفته اند.
با توجه به BitcoinAbuse.com، یک وبسایت که آدرسهای بیت کوین را برای فعالیت مشکوک مورد استفاده قرار می دهد، امروزه 27 گزارش سوء استفاده برای این آدرس وجود دارد، زمانی که ابتدا در پایگاه داده سایت نمایش داده شد. همه گزارش های سوء استفاده شامل یک یادداشت جبران خسارت است، که نشان می دهد آدرس Bitcoin در یک حمله هماهنگ شده با هدف حساب Git مورد استفاده قرار می گیرد.
برخی از کاربران که قربانی این هکر شده اند مجاز به استفاده از کلمه عبور ضعیف برای حساب های GitHub، GitLab و Bitbucket خود هستند و فراموش کردن حذف برچسب های دسترسی برای برنامه های قدیمی که ماه ها استفاده نکرده اند - که هر دو روش بسیار رایج هستند که حساب های آنلاین معمولا به خطر می افتد.
با این حال، تمام شواهد نشان می دهد که هکر کل اینترنت را برای فایل های پیکربندی Git اسکن کرده است، اعتبار های استخراج شده، و سپس از این logins ها برای دسترسی و دفع حساب در سرویس های میزبانی وب Git استفاده می کند.
کتی وانگ، مدیر امنیت برای GitLab، در یک ایمیل به ZDNet، اذعان کرد که این امر دلیل اصلی یک حساب کاربری است که کاربر را به زودی در StackExchange گزارش می دهد.
ما منبع را بر اساس یک بلیط پشتیبانی شده توسط استفان گابوف دیروز شناسایی کردیم و بلافاصله موضوع را بررسی کردیم. ما حسابهای کاربری تحت تأثیر را شناسایی کرده ایم و همه این کاربران اطلاع داده شده اند. در نتیجه تحقیقات ما شواهد قوی وجود دارد که حسابهای آسیب دیده دارای رمزهای حساب ذخیره شده در متن ساده در استقرار یک مخزن مرتبط هستند. ما به شدت از استفاده از ابزارهای مدیریت رمز عبور برای ذخیره کلمات عبور به شیوه ای ایمن تر استفاده می کنیم و هر کدام که ممکن است امکان احراز هویت دو عامل را فراهم کنیم، هر دو از این مسئله جلوگیری می کنند
Atlassian، شرکتی که Bitbucket دارد، به درخواست درخواست نظر پاسخ نداده است، اما آنها شروع به اطلاع رسانی به مشتریانی کردند که اعتقاد دارند که هکرها دسترسی غیر قانونی را دریافت کرده اند، و همچنین شروع به ارسال هشدارهای امنیتی به حساب هایی که تلاش های ورود به سیستم ناموفق بوده است.
راهی برای بازپس گرفتن
خبر خوب این است که پس از حادثه از طریق پرونده قربانی، اعضای جلسه امنیتی StackExchange متوجه شدند که هکرها در واقع حذف نمیکنند، اما در حقیقت، هکرهای Git commit را تغییر میدهد، به این معنا که در برخی موارد ممکن است مرتکب شده باشد.
دستورالعمل در مورد نحوه بازیابی مخازن Git منگل در این صفحه موجود است.
در توییتر، چندین شخصیت مهم در جامعه توسعه دهنده، در حال حاضر قربانیان را برای تماس با تیم های پشتیبانی در GitHub، GitLab، یا Bitbucket، قبل از پرداخت هرگونه تقاضای پس انداز، می خواهند، زیرا ممکن است راه های دیگری برای بازیابی حذف رپو نیز وجود داشته باشد.
به احتمال زیاد، مخزن Git نیز به خطر افتاده است، که بدون شک تحقیقات طولانی در شرکت هایی که ممکن است کد اختصاصی خود را به طور بالقوه به یک سرور از راه دور متصل کرده اند، باعث شود.