اخطار و آسیب پذیری جدید

Mestercomuter Mestercomuter Mestercomuter · 1403/7/26 21:06 · خواندن 5 دقیقه

با سلام اسم این مقاله رو گذاشتم آسیب پذیری های امنیتی نوین ! 

چیزی که فقط میشه مقاومت کرد هیچ جلوگیری نداره 

بریم سر اصل مطلب: 

CVE-2022-38181 یک آسیب‌پذیری در درایور هسته‌ای GPU Arm Mali است که به مهاجمان اجازه می‌دهد به حافظه آزاد شده دسترسی پیدا کنند و منجر به افزایش سطح دسترسی شود. این آسیب‌پذیری ناشی از مدیریت نادرست حافظه است و در جولای 2022 گزارش شد. این مقاله به بررسی جزئیات فنی، حملات واقعی، و راهکارهای پیشگیری و شناسایی این آسیب‌پذیری می‌پردازد.

جزئیات آسیب‌پذیری

  • نوع آسیب‌پذیری: افزایش سطح دسترسی (Use-After-Free)
  • شدت: امتیاز CVSS 8.8 (خطر بالا)
  • محصولات تحت تأثیر:

روند اصلاح

تیم امنیتی اندروید این آسیب‌پذیری را به Arm ارجاع داد و Arm در اکتبر 2022 وصله‌ای برای آن منتشر کرد. با این حال، زنجیره‌های بهره‌برداری در دنیای واقعی نشان‌دهنده خطرات مداوم بودند.

  • Bifrost: r0p0 تا r39p0
  • Valhall: r19p0 تا r39p0
  • Midgard: r4p0 تا r32p0

حمله به Fire TV 2nd Gen Cube

در این بخش، یک حمله واقعی با استفاده از آسیب‌پذیری CVE-2022-38181 را شرح می‌دهیم:

  1. شناسایی آسیب‌پذیری: مهاجم با ابزارهای تجزیه و تحلیل امنیتی، آسیب‌پذیری را شناسایی کرد.
  2. توسعه PoC (Proof of Concept): کد PoC برای سوءاستفاده از آسیب‌پذیری ایجاد شد: 

android-ndk-r21d/toolchains/llvm/prebuilt/linux-x86_64/bin/armv7a-linux-androideabi30-clang -DSHELL mali_shrinker_mmap32.c -o raven_shrinker

  1. اجرا: برای افزایش قابلیت اطمینان، exploit باید 30 تا 90 ثانیه پس از بوت شدن دستگاه اجرا شود.
  2. بهره‌برداری و دستکاری حافظه: مهاجم با استفاده از کدهای خاص به آدرس‌های حافظه آزاد شده دسترسی پیدا کرده و آن‌ها را تغییر داد.
  3. دست‌یابی به سطح دسترسی ریشه: با غیرفعال کردن SELinux، مهاجم توانست هرگونه کدی را با امتیاز ریشه اجرا کند.

لاگ‌ها و نتایج حمله

در زیر، نمونه‌ای از لاگ‌های مربوط به اجرای exploit آورده شده است:

fingerprint: Amazon/raven/raven:9/PS7624.3337N/0026810845440:user/amz-p,release-keys failed, retry. region freed 80 alias gpu va 100c85000 overwrite addr : 104100634 634 result 50

پیشنهادات امنیتی و راهکارهای شناسایی و جلوگیری از حملات

پیشنهادات امنیتی

  1. به‌روزرسانی نرم‌افزار:
  2. نظارت بر فعالیت‌ها:
  3. آموزش کارکنان:

راهکارهای شناسایی و جلوگیری از حملات

  1. استفاده از ابزارهای تحلیل امنیتی:
  2. اجرای تست نفوذ منظم:
  3. پیاده‌سازی کنترل‌های دسترسی:
  4. نظارت بر لاگ‌ها:
  5. استفاده از فایروال‌ها:

آنتی ویروس‌های پیشنهادی

برای شناسایی و جلوگیری از حملات مبتنی بر CVE-2022-38181، استفاده از آنتی ویروس‌هایی که قابلیت شناسایی تهدیدات مرتبط با مدیریت نادرست حافظه را دارند، ضروری است. برخی از آنتی ویروس‌های معتبر شامل موارد زیر هستند:

  1. Bitdefender:
  2. Kaspersky:
  3. Norton:
  4. McAfee:
  5. padvish ( پادویش آنتی ویروس تمام ایرانی)
  6. ESET NOD32:
    • دارای تکنولوژی تشخیص پیشرفته برای مقابله با تهدیدات ناشناخته.
    • قابلیت شناسایی تهدیدات جدید و محافظت در برابر نرم‌افزارهای مخرب.
    • ارائه حفاظت چندلایه‌ای که شامل تشخیص رفتار مشکوک نیز می‌شود.
    • دارای فناوری‌های پیشرفته برای شناسایی و مسدود کردن حملات مبتنی بر آسیب‌پذیری‌ها.
    • قابلیت شناسایی تهدیدات پیشرفته و جلوگیری از نفوذ.
    • پیکربندی فایروال‌ها برای محدود کردن ترافیک ورودی و خروجی بر اساس نیازها.
    • بررسی منظم لاگ‌های سیستم برای شناسایی هرگونه فعالیت مشکوک یا غیرمعمول.
    • محدود کردن دسترسی کاربران به منابع حساس و پیاده‌سازی سیاست‌های کنترل دسترسی دقیق.
    • انجام تست‌های نفوذ منظم برای شناسایی نقاط ضعف بالقوه قبل از اینکه مورد سوءاستفاده قرار گیرند.
    • ابزارهایی مانند Ostorlab KEV برای شناسایی آسیب‌پذیری‌های شناخته شده.
    • آموزش کارکنان درباره خطرات امنیت سایبری و بهترین شیوه‌های امنیتی می‌تواند به کاهش ریسک‌ها کمک کند.
    • پیاده‌سازی سیستم‌های نظارتی برای شناسایی فعالیت‌های غیرمعمول در سیستم‌ها.
    • استفاده از ابزارهای تشخیص نفوذ (IDS) برای شناسایی الگوهای مشکوک.
    • کاربران و سازمان‌ها باید اطمینان حاصل کنند که سیستم‌های خود را با آخرین وصله‌ها و به‌روزرسانی‌ها نگه دارند.

   تو جه داشته باشید در صورتی که جدی نگیریم 

چون من یک تست نفوذ ساده با این آسیب پذیری گرفتم ، یک کوچولو تخصصی ترش کنیم: 

دسترسی‌های ارائه‌شده به هکرها

با بهره‌برداری از CVE-2022-38181، مهاجمان قادرند به موارد زیر دسترسی پیدا کنند:

  1. دسترسی به حافظه آزاد شده:
  2. اجرای کد دلخواه:
  3. غیرفعال کردن مکانیزم‌های امنیتی:

برنامه‌های آسیب‌پذیر

برخی از برنامه‌ها و سیستم‌هایی که تحت تأثیر این آسیب‌پذیری قرار دارند شامل موارد زیر هستند:

  • گوشی‌های هوشمند با درایورهای Arm Mali:
  • درایورهای GPU:

لاگ‌های مربوط به حملات

در زیر نمونه‌ای از لاگ‌های مربوط به اجرای exploit آورده شده است:

  • Bifrost: r0p0 تا r39p0
  • Valhall: r19p0 تا r39p0
  • Midgard: r4p0 تا r32p0
  • دستگاه‌هایی مانند Google Pixel 6 و Fire TV 2nd Gen Cube.
  • هکرها می‌توانند مکانیزم‌هایی مانند SELinux را غیرفعال کنند که این امر باعث افزایش آسیب‌پذیری سیستم می‌شود.
  • با استفاده از این آسیب‌پذیری، مهاجم می‌تواند کد دلخواه را با امتیاز ریشه (root) اجرا کند و کنترل کامل بر روی سیستم را به دست آورد.
  • هکرها می‌توانند به حافظه‌ای که قبلاً آزاد شده است، دسترسی پیدا کنند و از آن برای اجرای کدهای مخرب استفاده کنند.
  1. غیرفعال کردن مکانیزم‌های امنیت
  2. هکرها می‌توانند مکانیزم‌هایی مانند SELinux را غیرفعال کنند که این امر باعث افزایش آسیب‌پذیری سیستم می‌شود.

برنامه‌های آسیب‌پذیر

برخی از برنامه‌ها و سیستم‌هایی که تحت تأثیر این آسیب‌پذیری قرار دارند شامل موارد زیر هستند:

  • گوشی‌های هوشمند با درایورهای Arm Mali:
  • درایورهای GPU:
  • Bifrost: r0p0 تا r39p0
  • Valhall: r19p0 تا r39p0
  • Midgard: r4p0 تا r32p0
  • دستگاه‌هایی مانند Google Pixel 6 و Fire TV 2nd Gen Cube.

لاگ‌های مربوط به حملات

در زیر نمونه‌ای از لاگ‌های مربوط به اجرای exploit آورده شده است:

fingerprint: Amazon/raven/raven:9/PS7624.3337N/0026810845440:user/amz-p,release-keys failed, retry. region freed 80 alias gpu va 100c85000 read 0 cleanup flush region release_mem_pool jit_freed jit_free commit: 2 0 Found freed_idx 2 Found pgd 23, 100cce000 overwrite addr : 104100634 634 overwrite addr : 104300634 634 overwrite addr : 1041001c4 1c4 overwrite addr : 1043001c4 1c4 result 50

 

  • خط "region freed": نشان‌دهنده این است که منطقه‌ای از حافظه آزاد شده است و هکر می‌تواند از این نقطه برای دسترسی به حافظه استفاده کند.
  • خط "overwrite addr": نشان‌دهنده تلاش برای نوشتن بر روی آدرس‌های حافظه آزاد شده است که می‌تواند منجر به اجرای کد دلخواه شود.

 

اخطار به حوضه امنیت : 


CVE-2022-38181 یک آسیب‌پذیری جدی است که به مهاجمان اجازه می‌دهد تا به اطلاعات حساس دسترسی پیدا کرده و کنترل کامل بر روی سیستم‌ها داشته باشند. شناسایی و اصلاح این آسیب‌پذیری برای حفظ امنیت سیستم‌ها ضروری است.

 

منابع اضافی

برای اطلاعات بیشتر، می‌توانید به مستندات زیر مراجعه کنید:

  1. CloudDefense
  2. CVE Details
  3. GitHub - Pro-me3us/CVE_2022_38181_Raven

این مقاله شامل جزئیات فنی، برنامه‌های آسیب‌پذیر و لاگ‌های مرتبط با CVE-2022-38181 است که می‌تواند برای پژوهشگران امنیت سایبری مفید باشد.