برمجية الفدية Cring تصيب شركات صناعية عبر ثغرات أمنية في خوادم VPN

جريدة البوابة المصرية
جريدة البوابة المصرية
الحكومة تنفي حظر حركة المواطنين أو وسائل النقل خلال الأسبوعين القادمين انصراف أشرف السعد من النيابة ارتفاع جماعي لمؤشرات البورصة بمستهل تعاملات جلسة نهابة الأسبوع حمادة هلال يشارك جمهوره مشهد انتقامه من رحاب وزين في فرحهما فرقة كورال أطفال المنيا تقدم حفلا فنيا ضمن ليالي رمضان «القصير» يبحث مع وزير الثروة الحيوانية السوداني سبل التعاون التعليم: استخدام الطالب للمصادر الرقمية بامتحان الثانوية لن يسبب له مشكلة وزير التعليم: إعلان ضوابط امتحانات الثانوية العامة 2021 بعد عيد الفطر وفاة والد الفنان محمد على رزق..والعزاء على المقابر ”الخشت” يشدد على تطبيق الإجراءات الاحترازية وحظر إقامة أي فعاليات أو احتفالات أوأنشطة جماعية بجامعة القاهرة تباين أسعار العملات أمام الجنيه اليوم الخميس 6 مايو 2021 أسعار الأسمنت المحلية اليوم الخميس 6 مايو

تكنولوجيا واتصالات

برمجية الفدية Cring تصيب شركات صناعية عبر ثغرات أمنية في خوادم VPN

في أوائل العام 2021، نفّذت جهات تخريبية سلسلة من الهجمات باستخدام برمجية Cring الخبيثة. وذكر فريق الاستجابة لحوادث أمن الحاسوب التابع لشركة "سويس كوم" Swisscom CSIRT هذه الهجمات، لكن لم يتّضح بعدُ كيف تصيب برمجية الفدية هذه شبكات الشركات الصناعية، لكن تحقيقًا أجراه خبراء فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، في إحدى الشركات التي تعرضت للهجوم، كشف عن أن هجمات Cring تستغل ثغرة في خوادم الشبكة الافتراضية الخاصة VPN. وضربت هذه الهجمات شركاتٍ صناعية في دول أوروبية، وأدّت في حالة واحدة على الأقل إلى إغلاق مؤقت لأحد مواقع الإنتاج.

وأصبحت ثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN معروفة منذ العام 2019. وجرت معالجتها وتصحيحها، لكن لم يتم تحديث جميع الأجهزة التي توجد بها هذه الثغرة. ومنذ خريف العام 2020 بدأت تظهر في منتديات الويب المظلمة قوائم جاهزة بعناوين IP للأجهزة التي تحتوي على الثغرة، ما قد يمكّن المهاجمين من الاتصال بالجهاز عبر الإنترنت والوصول عن بُعد إلى ملف XML الذي يحتوي على اسم المستخدم وكلمة المرور المخزنين بنص واضح.

وكشفت الاستجابة للحوادث، التي أجراها خبراء فريق الاستجابة لطوارئ الحاسوب لدى كاسبرسكي، أن سلسلة هجمات Cring من هجمات طلب الفدية، استغلت الجهة التخريبية ثغرة CVE-2018-13379 للوصول إلى شبكة الشركة.

وأظهر التحقيق أنه في وقت ما قبل المرحلة الرئيسة من العملية، أجرى المهاجمون اتصالات لاختبار بوابة VPN، للتأكّد على ما يبدو من أن بيانات اعتماد المستخدم المسروقة لشبكة VPN لا تزال صالحة.

استخدم المهاجمون في يوم الهجوم، بعد وصولهم إلى أول نظام على شبكة المؤسسة، الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق.

وكان المهاجمون محظوظين بعد ذلك في اختراق حساب مسؤول النطاق الشبكي، ليبدأوا بعد ذلك في الانتشار إلى أنظمة أخرى على شبكة الشركة مستغلين تمتّع المسؤول بحقوق الوصول إلى جميع الأنظمة على الشبكة باستخدام حساب مستخدم واحد.