به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت «Imperva» در گزارشی اعلام کردند باتنت کاشمیربلک (KashmirBlack) از اواخر سال 2019 فعال بوده و صدها هزار سایت مبتنی بر سیستمهای مدیریت محتوای WordPress ،Joomla ،PrestaShop ،Magneto، Drupal ،vBulletin ،osCommerce ،OpenCart، Yeager را آلوده کرده است.
کاشمیربلک با بهرهگیری از سرورهای منابع آلوده برای استخراج رمزارز، ترافیک قانونی به سایتهای اسپم هدایت کرده و از سایتهای هک شده برای حمله به منابع دیگر و گسترش فعالیتهای مخرب خود بهره میگیرد.
این باتنت در ابتدا کوچک بوده و طی ماههای اخیر به تهدیدی بزرگ تبدیلشده و قادر است هزاران سایت را در یک روز آلوده سازد. کاشمیربلک در حال حاضر از سوی یک سرور فرماندهی و کنترل هدایت میشود و از بیش از 60 سرور و منابع هک شده در زیرساخت خود استفاده میکند.
روش اصلی انتشار کاشمیر بلک به این صورت است که با اسکن اینترنت سایتهایی را که از نرمافزارهای منسوخشده استفاده میکنند، شناسایی کرده و با بهرهگیری از اکسپلویتها و آسیبپذیریهای مختلف، سایت آسیبپذیر را هک کرده و سرور را در اختیار میگیرد.
بر اساس گزارش «Imperva»، کاشمیربلک قادر است از 16 آسیبپذیری بهرهبرداری کند که در زیر به برخی از آنها اشاره میشود:
- آسیبپذیری از راه دور در PHPUnit با شناسه CVE-2017-9841،
- آسیبپذیری آپلود فایل در jQuery با شناسه CVE-2018-9206،
- آسیبپذیری Command Injection در ELFinder با شناسه CVE-2019-9194،
- آسیبپذیری RFI در WordPress TimThumb با شناسه CVE-2011-4106،
- آسیبپذیری شناسه CVE-2015-7571 در Yeager،
- آسیبپذیری آپلود از راه دور فایل در Joomla،
- آسیبپذیری install.php در WordPress.
