‫ khozestan_salamat بلاگ

Finastra در حال بررسی یک سرقت اطلاعات در مقیاس بزرگ است که ظاهراً 400 گیگابایت از اسناد داخلی آن را به خطر انداخته است. از آن زمان این داده‌ها در یک انجمن هکرها منتشر شده است.

شرکت فین‌تک مستقر در لندن، Finastra، مشتریان خود را از نقض داده‌ها مطلع کرده است که منجر به فروش 400 گیگابایت مشتری خصوصی و داده‌های شرکت در یک انجمن مجرمان سایبری شده است.

این رخنه اولین بار توسط روزنامه نگار امنیت سایبری برایان کربز فاش شد که یک نسخه از افشای رویداد امنیتی شرکت در 8 نوامبر 2024 به دست آورد.

Finastra به حدود 8100 موسسه مالی در سراسر جهان خدمات ارائه می‌دهد، از جمله عملیات روزانه Finastra عمدتاً شامل رسیدگی به پرونده‌های دیجیتال با دستورالعمل‌های انتقال سیم و بانک برای مشتریان خود است. سال گذشته، این شرکت 1.9 میلیارد دلار درآمد داشت.

طبق اخطار نقض، در 7 نوامبر، تیم امنیتی این شرکت فعالیت مشکوکی را در "پلت فرم انتقال فایل با میزبانی داخلی" Finastra شناسایی کرد. پروتکل انتقال امن فایل (SFTP) روشی است که به طور گسترده توسط سازمان‌ها برای انتقال ایمن فایل‌ها و مجموعه داده‌های بزرگ از طریق اینترنت استفاده می‌شود.

Finastra در این افشاگری می‌گوید: «در 8 نوامبر، یک عامل تهدید در وب تاریک ارتباط برقرار کرد و ادعا کرد که داده‌هایی از این پلتفرم استخراج شده است. این شرکت ادعا کرد که "هیچ تاثیر مستقیمی" بر عملیات مشتری و سیستم مشتریان وجود ندارد.

در اطلاعیه شرکت آمده است: «بازیگر تهدید بدافزار را مستقر نکرده یا هیچ فایل مشتری را در محیط دستکاری نکرده است. "علاوه بر این، هیچ پرونده‌ای به جز فایل‌های استخراج شده مشاهده یا دسترسی نبود."

Finastra در بیانیه‌ای به Krebs توضیح داد که SFTP آسیب دیده توسط همه مشتریان استفاده نمی‌شود و پلت فرم پیش فرض برای تبادل فایل‌های داده مربوط به طیف گسترده محصولات آن نیست.

اسکرین شات‌های جمع‌آوری شده توسط پلتفرم اطلاعات سایبری Ke-la.com نشان می‌دهد که مهاجمان در ابتدا تلاش کردند تا داده‌هایی را که گفته می‌شود از Finastra به سرقت رفته بود، در 31 اکتبر بفروشند.

به گفته کربس، پست‌های انجمن نشان می‌دهد که عامل تهدید ممکن است حداقل یک هفته قبل از اینکه شرکت اعلام کند برای اولین بار فعالیت مشکوکی را شناسایی کرده است، به سیستم اشتراک‌گذاری فایل Finastra دسترسی پیدا کرده است.

بنیاد Shadowserver گزارش می‌دهد که بیش از 2000 فایروال شبکه Palo Alto از طریق دو آسیب‌پذیری روز صفر هک شده‌اند. 
 

محققان امنیت سایبری در Shadowserver فاش کردند که تقریباً 2000 فایروال شبکه پالو آلتو در معرض خطر قرار گرفته است. این نقض‌ها دو آسیب‌پذیری روز صفر را در نرم‌افزار PAN-OS این شرکت شناسایی کرده‌اند. این آسیب‌پذیری‌ها با نام‌های CVE-2024-0012 و CVE-2024-9474 برچسب‌گذاری شده‌اند.

آسیب‌پذیری‌ها
CVE-2024-0012: این آسیب‌پذیری یک دور زدن احراز هویت در رابط وب مدیریت PAN-OS است. این به مهاجمان راه دور اجازه می‌دهد تا بدون احراز هویت، امتیازات مدیر را به دست آورند. این بدان معنی است که مهاجمان می‌توانند تنظیمات دیوار آتش را دستکاری کنند و آنها را در معرض سوء‌استفاده بیشتر قرار دهند.

CVE-2024-9474: این نقص یک مسئله تشدید امتیاز است. پس از سوء‌استفاده، به مهاجمان اجازه می‌دهد تا دستورات را با امتیازات ریشه اجرا کنند و به آنها کنترل کامل بر فایروال در معرض خطر را می‌دهد.

عملیات قمری پیک - فعالیت تهدید مداوم
شبکه‌های پالو آلتو، بهره‌برداری اولیه از این آسیب‌پذیری‌ها را «عملیات Lunar Peek» نامگذاری کرده است. Palo Alto Networks ابتدا در 8 نوامبر به مشتریان در مورد محدودیت دسترسی به فایروال‌های نسل بعدی خود به دلیل نقص نامشخص اجرای کد از راه دور هشدار داد.

از آن زمان، این شرکت پس از انتشار عمومی بینش‌های فنی توسط محققان شخص ثالث در 19 نوامبر 2024، افزایش قابل توجهی در فعالیت تهدید مشاهده کرده است.

واحد 42، تیم اطلاعاتی تهدید شبکه‌های پالو آلتو، با اطمینان متوسط ​​تا بالا ارزیابی می‌کند که یک زنجیره بهره‌برداری عملکردی CVE-2024-0012 و CVE-2024-9474 در دسترس عموم است، که می‌تواند منجر به فعالیت تهدید گسترده‌تر شود.

این شرکت در حال حاضر در حال بررسی حملات جاری است که شامل زنجیره‌سازی این دو آسیب‌پذیری برای هدف قرار دادن تعداد محدودی از رابط‌های وب مدیریت دستگاه است. این شرکت مشاهده کرده است که عوامل تهدید بدافزار را حذف می‌کنند و دستوراتی را روی فایروال‌های آسیب‌ دیده اجرا می‌کنند، که نشان می‌دهد احتمالاً یک سوءاستفاده زنجیره‌ای در حال حاضر در حال استفاده است.

توصیه هایی برای کاربران
Palo Alto Networks چندین توصیه برای کاهش خطر ارائه کرده است:

نظارت و بررسی: کاربران باید هرگونه فعالیت مشکوک یا غیرعادی در دستگاه‌های دارای رابط وب مدیریتی را که در معرض اینترنت قرار دارند نظارت کنند. پس از اعمال وصله، بررسی تنظیمات فایروال و گزارش‌های حسابرسی برای هر گونه نشانه‌ای از فعالیت غیرمجاز سرپرست بسیار مهم است.

وصله فوری: به مشتریان توصیه می‌شود سیستم‌های خود را برای دریافت آخرین وصله‌هایی که CVE-2024-0012 و CVE-2024-9474 را اصلاح می‌کنند، به روز کنند. اطلاعات دقیق درباره محصولات و نسخه‌های آسیب‌ دیده را می‌توانید در مشاوره‌های امنیتی Palo Alto Networks بیابید.

محدود کردن دسترسی: برای کاهش خطر، Palo Alto Networks توصیه می‌کند که دسترسی به رابط وب مدیریت را فقط به آدرس‌های IP داخلی قابل اعتماد محدود کنید. این مطابق با دستورالعمل‌های استقرار بهترین عملکرد توصیه شده آنها است.

بینش تخصصی
الاد لوز، رئیس تحقیقات Oasis Security، بر اهمیت اقدام فوری حتی قبل از پچ کردن تاکید می‌کند. او به مشتریان آسیب دیده توصیه می‌کند که دسترسی به رابط مدیریت وب را محدود کنند و ترجیحاً فقط IP‌های داخلی را مجاز کنند. Luz همچنین بر لزوم اطمینان از اینکه دستگاه‌ها پس از وصله‌سازی از هرگونه بدافزار یا پیکربندی مخرب بالقوه عاری هستند، تأکید می‌کند.

یک پلتفرم هدایای تبلیغاتی محبوب، gs-jj.com، 300000 ایمیل از مشتریان را برای ماه‌ها در معرض نمایش گذاشت. این نشت به احتمال شکست‌های امنیتی عملیاتی اشاره دارد، زیرا به نظر می‌رسد این شرکت از چین فعالیت می‌کند و 2500 ایمیل ارسال شده از دامنه‌های .mil و .gov را ارائه کرده است.

در 10 ژوئیه 2024، تیم تحقیقاتی Cybernews یک نمونه باز Elasticsearch متعلق به EnamelPins Inc را کشف کرد. این شرکت پشت سرویس gs-jj.com، لوازم جانبی نمادین، مانند وصله‌ها، سنجاق‌های برگردان، نشان‌ها، مدال‌ها و موارد دیگر را طراحی و تولید می‌کند.

Elasticsearch یک موتور جستجو و تجزیه و تحلیل قدرتمند برای تجزیه‌ و تحلیل سریع مقادیر زیادی از داده‌ها است.

نمونه EnamelPins حاوی بیش از 300000 ایمیل خصوصی بود که بین شرکت و مشتریانش ارسال شده بود. برخی از ایمیل‌ها حاوی نام کامل، سایر اطلاعات شخصی خصوصی و اسناد طراحی محصول بودند. کاربران در معرض خطر نیز در معرض هدف قرار گرفتن در کمپین‌های spearphishing یا سایر فعالیت‌های مخرب قرار می‌گیرند.

در میان ایمیل‌های فاش شده، حدود 2500 ایمیل از دامنه‌های ایمیل .mil و .gov متعلق به افسران مختلف ارتش ایالات متحده و مقامات دولتی بود. اینها بیشتر سفارش محصولاتی مانند وصله، سکه، مدال و در برخی موارد حتی نشان گردان بود.

«ایمیل‌ها و پیوست‌ها اطلاعات حساسی را در مورد مقامات عالی رتبه نظامی افشا می‌کردند. آنها می‌توانند برای تعیین موقعیت آنها در واحدهای ارتش خاص، شماره تلفن، آدرس ایمیل و آدرس‌های حمل‌و نقل استفاده شوند. محققان سایبرنیوز گفتند که پیوست‌ها شامل طرح‌هایی برای نشان‌ها بودند.

تیم تحقیقاتی همچنین سایر مشکلات امنیتی را در مورد وب‌سایت کشف کردند، مانند پیکربندی مخزن git لو رفته، پوشه و ساختار فایل وب‌سایت. به نظر می‌رسد این فایل‌های مخفی به طور تصادفی آپلود شده و سهوا باز گذاشته شده‌اند. آنها پیوندهای عملیاتی این شرکت با چین را آشکار می‌کنند.

EnamelPins Inc. یک شرکت خصوصی است که در کالیفرنیا، ایالات متحده ثبت شده است. این سرویس در سال 2018 تأسیس شد. خدمات gs-jj.com عمدتاً غیرنظامیان را هدف قرار داده است.