هشدار جهانی: بدافزار BADCANDY در حال نفوذ به دستگاه‌های Cisco IOS XE است

ماجرا از کجا شروع شد؟

ماجرا از آنجا آغاز شد که شرکت Cisco و تیم تحقیقاتی Talos متوجه شدند تعداد زیادی از دستگاه‌های شبکه‌ای در سراسر دنیا مورد حمله قرار گرفته‌اند. دلیل این اتفاق، یک نقص امنیتی مهم در سیستم‌عامل Cisco IOS XE است که به هکرها اجازه می‌دهد بدون نیاز به رمز عبور وارد دستگاه شوند.

به زبان ساده، این نقص مثل باز گذاشتن درِ مدیریتی شبکه است؛ هر کسی که بداند چطور از آن استفاده کند، می‌تواند به تنظیمات اصلی دستگاه دسترسی پیدا کند.

بدافزار BADCANDY چطور کار می‌کند؟

هکرها از این آسیب‌پذیری برای نصب بدافزاری به نام BADCANDY استفاده می‌کنند. این بدافزار در قالب یک وب‌شل (Web Shell) روی دستگاه نصب می‌شود؛ یعنی برنامه‌ای پنهان که به مهاجم امکان می‌دهد هر زمان خواست، از راه دور فرمان‌هایی را اجرا کند.

با کمک BADCANDY Web Shell، مهاجمان می‌توانند اطلاعات شبکه را ببینند، تنظیمات را تغییر دهند، یا داده‌ها را به بیرون بفرستند.

این حملات کجاها را هدف گرفته‌اند؟

طبق گزارش نهادهای بین‌المللی مثل CISA و Shadowserver Foundation، بیش از ۳۵ هزار دستگاه در کشورهای مختلف آلوده شده‌اند.
بیشترین آلودگی‌ها در آمریکا، اروپا و خاورمیانه دیده شده است. بعضی از قربانیان، شرکت‌های بزرگ اینترنتی و حتی سازمان‌های دولتی هستند.

کارشناسان هشدار داده‌اند که اگر دستگاه مدیریتی شبکه‌ها به اینترنت متصل باشد، خطر آلودگی چند برابر می‌شود.

چطور بفهمیم دستگاه آلوده است؟

اگر از دستگاه‌های Cisco استفاده می‌کنید، می‌توانید با بررسی تنظیمات آن متوجه آلودگی شوید.
در بخش تنظیمات، اگر مسیرهای مشکوکی مثل /webui/logout.html?redirect=... دیده می‌شود، ممکن است دستگاه شما آلوده باشد.

Cisco توصیه کرده است که فوراً به‌روزرسانی امنیتی جدید را نصب کنید و در صورت عدم نیاز، بخش Web UI را غیرفعال نمایید.

هشدار مراکز امنیتی

سازمان CISA آمریکا در اطلاعیه رسمی خود از همه‌ی شرکت‌ها و سازمان‌ها خواسته که سریع‌تر اقدامات زیر را انجام دهند:

1. به‌روزرسانی کامل دستگاه‌ها با آخرین نسخه‌های امنیتی.
2. بستن دسترسی‌های مدیریتی از طریق اینترنت.
3. بررسی دقیق لاگ‌ها و فعالیت‌های مشکوک در پورت‌های 80 و 443.
4. در صورت آلودگی، تغییر رمزها و بازسازی سیستم.

نظر کارشناسان درباره خطر حمله

به گفته متخصصان امنیت، این حملات به احتمال زیاد از سوی گروه‌های هکر سازمان‌یافته (APT) انجام می‌شود که هدفشان جاسوسی سایبری است.
یکی از کارشناسان شرکت Rapid7 می‌گوید:

«BADCANDY فقط یک بدافزار ساده نیست، بلکه ابزاری برای حفظ دسترسی طولانی‌مدت در شبکه‌های هدف است.»

این اتفاق نشان می‌دهد که حتی تجهیزات شبکه‌ای که سال‌هاست استفاده می‌شوند، همچنان می‌توانند هدف حمله باشند، اگر به‌روز نشوند.

اهمیت این حملات

این حملات یادآور اهمیت امنیت زیرساخت‌های شبکه است. در حالی که بیشتر شرکت‌ها روی امنیت نرم‌افزارهای کاربری تمرکز دارند، مهاجمان به سراغ لایه‌های عمیق‌تر شبکه رفته‌اند؛ جایی که معمولاً کمتر بررسی می‌شود.

به گفته‌ی کارشناسان، حملات مبتنی بر وب‌شل می‌توانند ماه‌ها در سیستم باقی بمانند، بدون اینکه کسی متوجه شود. این موضوع خطر نفوذ تدریجی به داده‌ها و سیستم‌های حیاتی را افزایش می‌دهد.

برای مطالعه مقالات بیشتر به سایت خانه متاورس ایران سر بزنید.