محققان امنیتی شرکت ایمپروا در گزارشی جدید، جزئیات کاملی را در رابطه با باتنت KashmirBlack منتشر کردهاند که نشان میدهد این باتنت، سرورهای صدها هزار وبسایت که اغلب آنها، میزبان سیستم مدیریت محتوا (CMS)، مانند وردپرس، جوملا، دروپال و... هستند را آلوده کرده است.
به گفته محققان امنیتی شرکت ایمپروا، باتنت KashmirBlack بهصورت اختصاصی سرورهای میزبان سیستمهای مدیریت محتوا را مورد هدف قرار داده است.
براساس اطلاعات موجود، باتنت KashmirBlack از ماه نوامبر سال ۲۰۱۹ فعالیتهای خود را آغاز کرده است.
محققان اظهار کردهاند که هدف اصلی این باتنت، احتمالا آلوده کردن وبسایتها و استفاده از سرورهای آنها برای استخراج ارز دیجیتال، انتقال ترافیک قانونی یک سایت به صفحات جعلی است.
این باتنت با اسکن اینترنت، سایتهایی را که از نرمافزارهای آسیبپذیر استفاده میکنند را پیدا کرده و سپس با استفاده از اکسپلویتهای از پیش طراحی شده، سایتها و سرورهای آسیبپذیر را آلوده میکند.
به گفته ایمپروا، بعضی از سرورهای هک شده برای ارسال هرزنامه یا استخراج ارز دیجیتالی و همچنین حمله به سایتهای دیگر و فعال نگه داشتن باتنت مورد استفاده قرار میگیرند.
محققان اظهار کردهاند که باتنت KashmirBlack از نوامبر سال گذشته تاکنون از ۱۶ آسیبپذیری بهرهبرداری کرده است که عبارتند از:
PHPUnit Remote Code Execution – CVE-2017-9841
jQuery file upload vulnerability – CVE-2018-9206
ELFinder Command Injection – CVE-2019-9194
Joomla! Remote file upload vulnerability
Magento Local File Inclusion – CVE-2015-2067
Magento Webforms Upload Vulnerability
CMS Plupload Arbitrary File Upload
Yeager CMS vulnerability – CVE-2015-7571
WordPress TimThumb RFI Vulnerability – CVE-2011-4106
Uploadify RCE vulnerability
vBulletin Widget RCE – CVE-2019-16759
WordPress install.php RCE
WordPress xmlrpc.php Login Brute-Force attack
WordPress multiple Plugins RCE
WordPress multiple Themes RCE
Webdav file upload vulnerability
jQuery file upload vulnerability – CVE-2018-9206
ELFinder Command Injection – CVE-2019-9194
Joomla! Remote file upload vulnerability
Magento Local File Inclusion – CVE-2015-2067
Magento Webforms Upload Vulnerability
CMS Plupload Arbitrary File Upload
Yeager CMS vulnerability – CVE-2015-7571
WordPress TimThumb RFI Vulnerability – CVE-2011-4106
Uploadify RCE vulnerability
vBulletin Widget RCE – CVE-2019-16759
WordPress install.php RCE
WordPress xmlrpc.php Login Brute-Force attack
WordPress multiple Plugins RCE
WordPress multiple Themes RCE
Webdav file upload vulnerability
اکسپلویتهای موجود در این فهرست به باتنت KashmirBlack اجازه حمله به سایتهایی که از وردپرس، جوملا، PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart و Yeager استفاده میکنند را میدهد.
توضیحات بیشتر:
- KashmirBlack botnet behind attacks on CMSs like WordPress, Joomla, Drupal, others