قراصنة صينيون يستغلون Cisco Switches Zero-Day لتوصيل البرامج الضارة
تاريخ النشر: 2nd, July 2024 GMT
تمت ملاحظة مجموعة تجسس إلكترونية تابعة للصين تدعى Velvet Ant وهي تستغل ثغرة يوم الصفر في برنامج Cisco NX-OS المستخدم في محولاتها لتوصيل البرامج الضارة.
تتعلق الثغرة الأمنية، التي تم تتبعها بالرقم CVE-2024-20399 (درجة CVSS: 6.0)، بحالة إدخال أوامر تسمح لمهاجم محلي مصادق عليه بتنفيذ أوامر عشوائية كجذر على نظام التشغيل الأساسي للجهاز المتأثر.
وقالت شركة الأمن السيبراني Sygnia في بيان مشترك مع: "من خلال استغلال هذه الثغرة الأمنية، نجحت شركة Velvet Ant في تنفيذ برنامج ضار مخصص غير معروف سابقًا سمح لمجموعة التهديد بالاتصال عن بعد بأجهزة Cisco Nexus المخترقة، وتحميل ملفات إضافية، وتنفيذ تعليمات برمجية على الأجهزة".
قالت Cisco إن المشكلة تنبع من عدم التحقق من صحة الوسيطات التي يتم تمريرها إلى أوامر CLI للتكوين المحددة، والتي يمكن استغلالها من قبل الخصم من خلال تضمين المدخلات المعدة كوسيطة لأمر CLI للتكوين المتأثر.
الأمن الإلكتروني
علاوة على ذلك، فهو يمكّن المستخدم الذي يتمتع بامتيازات المسؤول من تنفيذ الأوامر دون تشغيل رسائل سجل نظام النظام، مما يجعل من الممكن إخفاء تنفيذ أوامر shell على الأجهزة المخترقة.
على الرغم من قدرات تنفيذ التعليمات البرمجية للخلل، إلا أن الخطورة المنخفضة ترجع إلى حقيقة أن الاستغلال الناجح يتطلب أن يكون لدى المهاجم بالفعل بيانات اعتماد المسؤول وأن يكون لديه إمكانية الوصول إلى أوامر تكوين محددة. تتأثر الأجهزة التالية بـ CVE-2024-20399 -
تم توثيق Velvet Ant لأول مرة من قبل شركة الأمن السيبراني الإسرائيلية الشهر الماضي فيما يتعلق بالهجوم السيبراني الذي استهدف منظمة غير مسماة تقع في شرق آسيا لمدة ثلاث سنوات تقريبًا من خلال إثبات الثبات باستخدام أجهزة F5 BIG-IP القديمة من أجل سرقة بيانات العملاء خلسة. معلومات مالية.
وقال سيجنيا: "إن أجهزة الشبكة، وخاصة المحولات، لا تتم مراقبتها في كثير من الأحيان، ولا يتم إرسال سجلاتها في كثير من الأحيان إلى نظام تسجيل مركزي". "هذا النقص في المراقبة يخلق تحديات كبيرة في تحديد الأنشطة الضارة والتحقيق فيها."
الأمن الإلكتروني
يأتي هذا التطوير في الوقت الذي تستغل فيه الجهات الفاعلة في التهديد ثغرة أمنية خطيرة تؤثر على أجهزة توجيه D-Link DIR-859 Wi-Fi (CVE-2024-0769، درجة CVSS: 9.8) - وهي مشكلة اجتياز المسار تؤدي إلى الكشف عن المعلومات - لجمع معلومات الحساب مثل الأسماء وكلمات المرور والمجموعات والأوصاف لجميع المستخدمين.
وقالت شركة استخبارات التهديدات GreyNoise: "إن الاختلافات في الاستغلال تمكن من استخراج تفاصيل الحساب من الجهاز، لقد انتهى عمر المنتج، لذلك لن يتم تصحيحه، مما يشكل مخاطر استغلال طويلة المدى. ويمكن استدعاء ملفات XML متعددة باستخدام الثغرة الأمنية".
المصدر: بوابة الوفد
إقرأ أيضاً:
الذكاء الاصطناعي في يد الهاكرز.. ديب سيك R1 يمكنه تطوير برامج الفدية الخبيثة
كشف باحثو الأمن السيبراني، عن كيفية استغلال نموذج الذكاء الاصطناعي الصيني من ديب سيك Deepseek-R1، في محاولات تطوير متغيرات من برامج الفدية والأدوات الرئيسية مع قدرات عالية على التهرب من الكشف.
ووفقا لتحذيرات فريق Tenable، فأن النتائج لا تعني بالضرورة بداية لحقبة جديدة من البرامج الضارة، حيث يمكن لـ Deepseek R-1 "إنشاء الهيكل الأساسي للبرامج الضارة" ولكنه يحتاج إلى مزيدا من الهندسة الموجهة ويتطلب إخراجها تعديلات يديوية لاخراج الشيفرة البرمجية الضارة بشكل كامل.
ومع ذلك، أشار نيك مايلز، من Tenable، إلى أن إنشاء برامج ضارة أساسية باستخدام Deepseek-R1، يمكن أن يساعد "شخص ليس لديه خبرة سابقة في كتابة التعليمات البرمجية الضارة" من تطوير أدوات تخريبية بسرعة، بمل في ذلك القدرة على التعرف بسرعة على فهم المفاهيم ذات الصلة.
في البداية، انخرط ديب سيك في كتابة البرامج الضارة، لكنها كانت على استعداد للقيام بذلك بعد أن طمأن الباحثين من أن توليد رمز ضار سيكون "لأغراض تعليمية فقط".
ومع ذلك، كشفت التجربة عن أن النموذج قادر على تخطي بعض تقنيات الكشف التقليدية، على سبيل المثال حاول Deepseek-R1 التغلب على آلية اكتشاف مفتاح Keylogger، عبر تحسين الكود لاستخدام Setwindowshookex وتسجيل ضربات المفاتيح في ملفات مخفية لتجنب الكشف من قبل برامج مكافحة الفيروسات.
وقال مايلز إن النموذج حاول التغلب على هذا التحدي من خلال محاولة “موازنة فائدة السنانير والتهرب من الكشف”، اختار في النهاية مقاضاة Setwindowshookex وتسجيل ضربات المفاتيح في ملف مخفي.
وقال مايلز: “بعد بعض التعديلات مع ديب سيك، أنتجت رمزا لمفتاح Keylogger الذي كان يحتوي على بعض الأخطاء التي تطلبت تصحيحا يدويا”.
وأضاف أن النتيجة كانت أربعة "أخطاء في إيقاف العرض بعيدا عن مفتاح التشغيل الكامل".
في محاولات أخرى، دفع الباحثون نموذج R1 إلى إنشاء رمز الفدية، حيث أخبر Deepseek-R1 بالمخاطر القانونية والأخلاقية المرتبطة بإنشاء مثل هذا الكود الضار، لكنه استمر في توليد عينات من البرمجيات الخبيثة بعد أن تأكد من نوايا الباحثون الحسنة.
على الرغم من أن جميع العينات كانت بحاجة إلى تعديلات يدوية من أجل التجميع، تمكنا الباحثون من إنشاء عدة عينات، وقال مايلز إن هناك احتمالية كبيرة بأن يسهم Deepseek-R1 في المزيد من تطوير البرمجيات الضارة التي تم إنشاؤه بواسطة الذكاء الاصطناعي من قبل مجرمي الإنترنت في المستقبل القريب.