وقد لوحظ زيادة نشاط المتسللين في محاولات للتسوية للأجهزة التي يتم صيانتها بشكل سيء والتي تكون عرضة لقضايا الأمن الأقدم من عامي 2022 و 2023.
منصة مراقبة التهديدات Greynoise تقوم بالإبلاغ عن المسامير في الاستفادة من الجهات الفاعلة”https://nvd.nist.gov/vuln/detail/CVE-2022-47945″ الهدف=”_blank” rel=”nofollow noopener”> CVE-2022-47945 و”https://nvd.nist.gov/vuln/detail/cve-2023-49103″ الهدف=”_blank” rel=”nofollow noopener”> CVE-2023-49103التي تؤثر على إطار ThinkPhP وحل OwnCloud مفتوح المصدر لمشاركة الملفات والمزامنة.
يتمتع كل من نقاط الضعف الشدة ويمكن استغلالها لتنفيذ أوامر نظام التشغيل التعسفي أو للحصول على بيانات حساسة (مثل كلمة مرور المسؤول ، بيانات اعتماد خادم البريد ، مفتاح الترخيص).
الضعف الأول هو مشكلة إدراج الملفات المحلية (LFI) في معلمة اللغة لإطار ThinkPhP قبل 6.0.14. يمكن للمهاجم البعيد غير المصدق الاستفادة منه لتنفيذ أوامر نظام التشغيل التعسفي في عمليات النشر حيث يتم تمكين ميزة حزمة اللغة.
أكاماي”https://www.akamai.com/blog/security-research/2024-thinkphp-applications-exploit-1-days-dama-webshell” الهدف=”_blank” rel=”nofollow noopener”> ذكرت في الصيف الماضي ، استفاد ممثلو التهديد الصيني من العيب منذ أكتوبر 2023 في عمليات النطاق الضيق.
وفقًا لمنصة مراقبة التهديدات Greynoise ، فإن CVE-2012-47945 تحت استغلال كبير الحجم في الوقت الحالي ، مع إطلاق هجمات من عدد متزايد من IPs المصدر.
“GreyNoise has observed 572 unique IPs attempting to exploit this vulnerability, with activity increasing in recent days,” يحذر النشرة.
هذا على الرغم من تصنيف نظام تسجيل التنبؤ المنخفض للاستغلال (EPSS) بنسبة 7 ٪ وعيب لا يتم تضمينه في كتالوج نقاط الضعف المعروفة (KEV) المعروفة في CISA.
المصدر: Greynoise
الضعف الثاني يؤثر على”https://dashboard.shadowserver.org/statistics/iot-devices/map/?day=2023-11-26&vendor=owncloud&geo=all&data_set=count&scale=log” الهدف=”_blank” rel=”nofollow noopener”> شعبية ينشأ برنامج مشاركة الملفات مفتوح المصدر من اعتماد التطبيق على مكتبة طرف ثالث تعرض تفاصيل بيئة PHP من خلال عنوان URL.
بعد فترة وجيزة من الضعف”https://www.bleepingcomputer.com/news/security/critical-bug-in-owncloud-file-sharing-app-exposes-admin-passwords/” الهدف=”_blank” rel=”nofollow noopener”> الكشف الأولي من المطورين في نوفمبر 2023 ،”https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-owncloud-flaw-patch-now/” الهدف=”_blank” rel=”nofollow noopener”> بدأ المتسللون في الاستغلال لسرقة المعلومات الحساسة من الأنظمة غير المذهلة.
بعد عام ، CVE-2023-49103″https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-most-exploited-vulnerabilities-of-2023/” الهدف=”_blank” rel=”nofollow noopener”> تم سرده بواسطة مكتب التحقيقات الفيدرالي و CISA و NSA ، من بين أكثر 15 من نقاط الضعف المستغلة لعام 2023.
على الرغم من أن أكثر من عامين قد مرت منذ أن أصدر البائع تحديثًا يعالج قضية الأمان ، إلا أن العديد من الحالات لا تزال غير مرغوبة وتعرض للهجمات.
لاحظت Greynoise زيادة استغلال CVE-2023-49103 مؤخرًا ، مع وجود نشاط ضار من 484 IPS فريدة من نوعها.
المصدر: Greynoise
ينصح بحماية الأنظمة ضد مستخدمي الاستغلال النشط بالترقية إلى ThinkPhP 6.0.14 أو أحدث ، و OwnCloud Graphapi إلى 0.3.1 وأحدث.
يوصى أيضًا بتأخذ الحالات الضعيفة المحتملة في وضع عدم الاتصال أو وضعها خلف جدار الحماية لتقليل سطح الهجوم.