- قامت شركة Dell بتصحيح الخلل الخطير في برنامج RecoverPoint للأجهزة الافتراضية والذي نتج عن بيانات الاعتماد المشفرة
- تم استغلاله باعتباره يوم الصفر منذ منتصف عام 2024 من قبل المجموعة التي ترعاها الدولة الصينية UNC6201
- نشر المهاجمون بابًا خلفيًا جديدًا لـ Grimbolt واستخدموا تقنية “Ghost NIC” الجديدة للتخفي والحركة الجانبية
زعم الخبراء أن جهات التهديد الصينية التي ترعاها الدولة تستغل ثغرة أمنية محرجة إلى حد ما في أحد منتجات شركة Dell منذ ما يقرب من عامين.
وفي تقرير أمني، قالت شركة Dell إن برنامج RecoverPoint للأجهزة الافتراضية الخاص بها يحتوي على ثغرة في بيانات الاعتماد المشفرة.
RecoverPoint للأجهزة الافتراضية (RP4VM) هو حل لحماية البيانات والتعافي من الكوارث مصمم للبيئات الافتراضية، وبشكل أساسي VMware vSphere وMicrosoft Hyper-V. أثناء إنشاء المنتج، ترك أحد المطورين بيانات اعتماد تسجيل الدخول في الكود، ومن المرجح أن يتمكن من تسجيل الدخول واختبار المنتج بسرعة.
استغلال نشط محدود
عادةً ما يقوم المطورون بفحص الكود قبل شحن المنتج وإزالة جميع آثار بيانات الاعتماد المشفرة. ومع ذلك، في بعض الأحيان يتم نسيانها، أو تركها دون فحص، مما يترك فجوة كبيرة يمكن لمجرمي الإنترنت استغلالها.
الآن، تقول Dell إن جميع الإصدارات السابقة لـ 6.0.3.1 HF1 تحتوي على بيانات اعتماد مشفرة – وهي ثغرة أمنية خطيرة لأن “مهاجمًا عن بعد غير مصادق عليه لديه معرفة ببيانات الاعتماد المشفرة يمكن أن يستغل هذه الثغرة الأمنية مما يؤدي إلى وصول غير مصرح به إلى نظام التشغيل الأساسي واستمرارية مستوى الجذر.”
ومما زاد الطين بلة أن باحثين أمنيين من شركتي Google وMandiant حذروا شركة Dell من “الاستغلال النشط المحدود” للخلل. وتقول الشركتان إنه تم استغلال الثغرة، باعتبارها يوم الصفر، منذ منتصف عام 2024، مما يعني أنهم كانوا يستخدمونها لأكثر من عام ونصف.
يبدو أن المجموعة التي تستغل هذا الخطأ يتم تعقبها باسم UNC6201. هذه ليست مجموعة معترف بها على نطاق واسع، مثل APT41 أو Silk Typhoon، لكنها على نفس القدر من الخطورة. في الواقع، قال الباحثون إن المجموعة نشرت حمولات متعددة من البرامج الضارة، بما في ذلك باب خلفي جديد تمامًا يسمى Grimbolt، تم تصميمه بلغة C# باستخدام تقنية تجميع جديدة جعلت من عملية الهندسة العكسية أسرع وأصعب من أدواتها السابقة.
وقال الباحثون أيضًا إن UNC6201 استخدم تقنيات جديدة للحركة الجانبية والتخفي:
قال مانديانت: “يستخدم UNC6201 منافذ شبكة افتراضية مؤقتة (المعروفة أيضًا باسم “Ghost NIC”) للتمحور من الأجهزة الافتراضية المخترقة إلى البيئات الداخلية أو SaaS، وهي تقنية جديدة لم تلاحظها Mandiant من قبل في تحقيقاتها”. BleepingComputer. “تماشيًا مع حملة BRICKSTORM السابقة، يواصل UNC6201 استهداف الأجهزة التي تفتقر عادةً إلى عوامل الكشف والاستجابة لنقطة النهاية التقليدية (EDR) لتظل غير مكتشفة لفترات طويلة.”
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات