Microsoft SharePoint serverlari doimiy hujum ostida.
Ikki haftadan ko’proq vaqt davomida tajovuzkorlar SharePoint’dagi ma’lum zaiflikdan faol ravishda foydalanib kelmoqdalar.
Kanada va Saudiya Arabistonidan kelgan xavfsizlik mutaxassislari ikki haftadan ortiq vaqtdan beri davom etayotgan Microsoft SharePoint serverlariga qilingan kiberhujumlar haqida ogohlantirishdi. Hujumlar ma’lum bo’lgan CVE-2019-0604 zaifligidan foydalanadi. Microsoft xavfsizlik bo’yicha maslahatiga ko’ra, zaiflik SharePoint ilovalar puli va SharePoint server akkaunti kontekstida kodni o’zboshimchalik bilan bajarishga imkon beradi. Kompaniya CVE-2019-0604 ni shu yilning fevral, mart va aprel oylarida yamoqladi.
Ushbu zaiflikning demo ekspluatatsiyasini mart oyida xavfsizlik bo’yicha tadqiqotchi Markus Vulftange e’lon qildi, u uni aniqladi, ammo boshqa ishlab chiquvchilarning PoC kodlari tez orada GitHub va Pastebin-da paydo bo’la boshladi.
Hujumlar uzoq kutilmadi — birinchilari aprel oyi oxirida aniqlandi. Kanada Kiberxavfsizlik Markazi o’tgan oy o’z ogohlantirishini e’lon qildi va o’tgan hafta yana bir ogohlantirish paydo bo’ldi, bu safar Saudiya Arabistonining Milliy Kiberxavfsizlik Markazi (NCSC) tomonidan.
Ikkala tashkilotning ma’lumotlariga ko’ra, kiberjinoyatchilar SharePoint serverlarini buzib kirishmoqda va China Chopper zararli dasturining bir variantini o’rnatmoqdalar. Zararli dastur – bu tajovuzkorlarga buzilgan serverga ulanish va turli buyruqlarni bajarish imkonini beruvchi veb-qobiq.
Mutaxassislar hujumlar ortida kim turganiga amin emaslar. Kanada Kiberxavfsizlik Markazining ma’lumotlariga ko’ra, «ishonchli tadqiqotchilar akademik tashkilotlarga, shuningdek, kommunal xizmatlar, og’ir sanoat, ishlab chiqarish va texnologiya sohalariga tegishli buzilgan tizimlarni aniqladilar». NCSC qurbonlarning shaxsini oshkor qilmadi, ammo u Saudiya Arabistonida joylashgan tashkilot ekanligi ma’lum.
Bir qarashda, hujumlar o’zaro bog’liq ko’rinishi mumkin, ammo bu har doim ham shunday emas. China Chopper juda keng tarqalgan zararli dastur bo’lib, nomiga qaramay, butun dunyo bo’ylab kiberjinoyatchilar tomonidan faol foydalaniladi. Xavfsizlik bo’yicha tadqiqotchi Kris Domanning so’zlariga ko’ra, hujumlarda ishlatilgan IP-manzillardan biri ilgari FIN7 guruhining arsenalida ko’rilgan edi.
Hujumlarning oldini olish uchun SharePoint serverlariga eng so’nggi xavfsizlik yangilanishlarini o’rnatishingizni tavsiya qilamiz. Agar yamoqlarni o’rnatish imkoni bo’lmasa, serverlar xavfsizlik devori bilan himoyalangan bo’lishi kerak.
