IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

سواستفاده هکر‌ها از Cloudflare WARP برای هایجک سرویس‌های ابری

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cloudflare warp hijack 1
بر اساس جدید‌ترین مشاهدات، چندین کمپین از سرویس WARP مجموعه Cloudflare برای هدف قرار دادن سرویس‌های متکی به اینترنت استفاده می‌کنند.

مزیت اصلی استفاده از Cloudflare WARP برای مهاجم احتمالا افزایش امکان ناشناس بودن آن و کاهش سوءظن پیرامون ترافیک مرتبط با Cloudflare است.

کلودفلر وارپ یا Cloudflare Warp یک VPN است که با استفاده از ساختار اصلی و بنیادی بین‌المللی Cloudflare، ترافیک کاربران را «بهینه‌سازی» می‌کند. از آنجایی که این یک سرویس رایگان است، هر کسی می‌تواند آن را برای استفاده شخصی دانلود و استفاده کند.

در واقع، WARP صرفا از اجرای WireGuard سفارشی برای تونل کردن ترافیک شما به نزدیکترین مرکز داده Cloudflare در جهت تلاش برای سرعت بخشیدن به اتصال شما استفاده می‌کند.

طبق این گزارش و به نقل سایبرسکیوریتی‌نیوز، حملات مشاهده شده به طور انحصاری مستقیما به آدرس‌های IP به جای CDN Cloudflare متصل می‌شوند و مهاجم بر لایه‌های جابجایی و برنامه کنترل دارد. به این ترتیب، تعیین IP مهاجمان ممکن نیست.

مروری بر کمپین SSWW
کمپین SSWW با استفاده از Cloudflare WARP برای دسترسی اولیه، یک اقدام منحصربه فرد برای رمز‌نگاری است که Docker در معرض دید را هدف قرار می‌دهد.

با‌این‌حال، با توجه به آخرین تغییرات هدر متعلق به payload مستقر شده، که مربوط به روز قبل آن، ٢٠ فوریه ٢٠٢٤ است، اولین حمله به زیرساخت هانی پات Cado در ٢١ فوریه همان سال کشف شد.

این احتمالا شروع کمپین فعلی بوده است
یک کانتینر با مجوز‌های بالا و دسترسی میزبان برای شروع حمله ساخته شد. متعاقبا، برای اجرای دستورات در کانتینر تازه ساخته شده، مهاجم یک جریان Docker VND ایجاد نمود.

اسکریپت SSWW بسیار ساده است و کار‌هایی مانند تلاش برای متوقف کردن خدمات سیستمی ماینر‌های رقیب، غیرفعال کردن SELinux، پایان دادن به کمپین در صورتی که قبلا تحت تاثیر قرار‌گرفته باشد را انجام می‌دهد و drop_caches و بهینه‌سازی‌های رایج XMRig را فعال می‌کند. و همچنین یک ماینر XMRig را با پیکربندی جاسازی شده دانلود می‌کند و فرآیند. system را پنهان می‌کند.

محققان می‌گویند: "در حالی که استفاده از Cloudflare WARP لایه‌ای از ناشناس ماندن را برای مهاجم فراهم می‌کند، می‌توانیم ببینیم IP‌هایی که حملات از آن سرچشمه می‌گیرند به طور مداوم از مرکز داده Cloudflare در زاگرب د کشور کرواسی نشات می‌گیرند".

با توجه به اینکه Cloudflare WARP از نزدیکترین مرکز داده استفاده می‌کند، کرواسی به نظر می‌رسد محل سرور اسکن مهاجم باشد. از طرف دیگر، یک ارائه‌دهنده VPS با دفتر مرکزی در هلند میزبان IP‌های C2 است.

محققان می‌گویند احتمالا سیستم‌های با پیکربندی نامناسب که به تمام ترافیک Cloudflare مجوز می‌دهند، در نتیجه ناشناس بودن WARP منجر به نفوذ شده باشند، اما بدون دسترسی به همه میزبان‌های آسیب‌دیده آلوده به این بدافزار، تعیین قطعی نتیجه آن غیرممکن است.

مجموعه Cloudflare "علنا اعلام کرده است که هیچ مکانیزمی برای بررسی داده‌های تاریخی برای جلوگیری از سواستفاده ندارند" و به نظر نمی‌رسد راهی برای کاربران جهت گزارش حملات با استفاده از فرم سواستفاده خود داشته باشند.

محققان خاطرنشان کردند: "تعدادی از کمپین‌های SSH که قبلا دیده‌ایم که از ارائه‌دهندگان VPS معمولا مورد سواستفاده قرار می‌گرفتند، اکنون به نظر می‌رسد که به استفاده از Cloudflare WARP مهاجرت کرده‌اند".
takian.ir cloudflare warp hijack 2
جدید‌ترین آسیب‌پذیری با نام CVE-2024-6387 در حال حاضر در فضای سایبری مورد سواستفاده واقع می‌شود.

یک مهاجم می‌تواند از این اکسپلویت از طریق Cloudflare WARP برای هدف قرار دادن سازمان‌هایی استفاده کند که ممکن است سرور SSH آسیب‌پذیر خود را با بهره‌گیری از فایروال‌های بسیار مطمئن در معرض دسترسی دیگران قرار ندهند.

توصیه‌های امنیتی
• مطمئن شوید که 104.28.0.0/16 در فایروال شما مسدود نشده باشد.
• یک استراتژی دفاعی عمیق اتخاذ کنید و مطمئن شوید که سرویس‌هایی مانند SSH به روز هستند و دارای احراز هویت قوی هستند.
• داکر (Docker) را حتی اگر پشت فایروال باشد، در حالت متصل به اینترنت قرار ندهید.

برچسب ها: SSWW, وارپ, کلودفلر وارپ, Cado, داکر, WARP, Cloudflare WARP, CVE-2024-6387, کلودفلر, Cloud Service, خدمات ابری, Docker, XMRig, SSH, Tunneling, CDN, Cloudflare, Cloud, cybersecurity, malware, SELinux, VPN, DroidVPN, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل