رصد باحثون من شركة Red Canary أسلوبا جديدا لمهاجمين سيبرانيين يتمثل في إصلاح الثغرة بعد استغلالها، في محاولة لحجب منافسين وضمان السيطرة الحصرية على الأنظمة المستهدفة.
الأنشطة الخبيثة استهدفت ثغرة حرجة في Apache ActiveMQ، وهو وسيط رسائل مفتوح المصدر يُستخدم على نطاق واسع في أنظمة Linux السحابية. الثغرة المسجلة بالرمز CVE-2023-46604 تتيح تنفيذ تعليمات برمجية عن بُعد نتيجة قصور في التحقق من أنواع الفئات داخل أوامر OpenWire. وقد كُشف عنها في أكتوبر 2023، مع إصدار تحديثات لإصلاحها.
ورغم مرور ما يقارب عامين على الكشف، ما تزال الثغرة مستهدفة لنشر برمجيات خبيثة تتراوح بين الفدية وعمليات التعدين. وفي الهجوم الأخير، عقب الحصول على صلاحيات كاملة للنظام، قام المهاجمون بتنزيل ملفي JAR خاصين بـ ActiveMQ واستبدالهما بالإصدار المصحح، ما مثل إصلاحا فعليا للثغرة. الباحثون أشاروا إلى أن ذلك يحقق هدفين للمهاجم: منع منافسين آخرين من استغلال الثغرة نفسها، وتقليل احتمالية كشف نشاطهم عبر أدوات المسح الأمني الشائعة.
المهاجمون كانوا قد أرسوا آليات بقاء أخرى قبل الإصلاح لضمان استمرار الوصول، وهو ما يجعل إصلاح الثغرة خطوة تكتيكية لتمديد فترة السيطرة دون لفت الانتباه.
إلى جانب هذا النهج، كشف الباحثون عن أداة خبيثة جديدة أطلق عليها اسم DripDropper، ظهرت بعد استغلال الثغرة في بعض أنظمة Linux السحابية. أداة DripDropper تعمل كـ Downloader مشفر عبر PyInstaller وتتواصل مع حساب Dropbox خاضع لسيطرة المهاجمين باستخدام رمز وصول مدمج (Bearer Token). ومن خلال هذه القناة يتم تنزيل ملفات خبيثة إضافية مسؤولة عن مراقبة العمليات، الاتصال بالحساب للتحكم عن بُعد، وتعديل إعدادات النظام مثل تغيير واجهة الدخول الافتراضية للمستخدمين.
في إحدى الحالات، قام المهاجم بعد تثبيت أداة Sliver بتعديل ملف إعدادات sshd لتمكين تسجيل دخول المستخدم الجذر (Root Login)، ما منحه وصولا عن بُعد بأعلى مستوى من الامتيازات.
توصيات الحماية لخوادم Linux السحابية
أسلوب هجومي جديد يعتمد على إصلاح الثغرة بعد استغلالها لحجب منافسين والحفاظ على الوصول الدائم
أكد الباحثون أن استهداف خدمة sshd يعكس خطورة الثغرات في الخوادم السحابية، وقدموا سلسلة من التوصيات:
- فرض ضوابط قائمة على السياسات لخدمات الويب مثل sshd باستخدام أدوات مثل Ansible وPuppet لتصحيح التهيئة الخاطئة بشكل تلقائي.
- تشغيل خدمات الويب بحسابات غير جذرية لتقليل الأثر في حال الاختراق.
- فرض المصادقة الإلزامية.
- تطبيق التحديثات الأمنية اعتمادا على كتالوج الثغرات المستغلة المعروف لدى CISA (KEV).
- تقييد التعرض الشبكي للخدمات عبر إعداد قواعد دخول (Ingress Rules) لحصرها على عناوين IP موثوقة أو شبكات VPN داخلية.
- تطبيق مبدأ أقل الامتيازات على جميع الخدمات المواجهة للإنترنت.
