黑客正在瞄准来自伊朗IP地址的DNA测序器应用程序

华盟君引言“威胁行动者正瞄准基于web的DNA测序应用程序，利用尚未修补的零日来接管目标系统。”

从2019年6月12日开始，来自NewSky Security的研究人员Ankit Anubhav观察到威胁行为者以基于网络的DNA测序应用程序为目标。攻击者利用仍未修补的零日漏洞CVE-2017-6526对目标系统进行全面控制。

dnaLIMS的漏洞于2017年向供应商报告，但至今仍未修复。

攻击者正在互联网上搜索dnaLIMS，这是一个基于web的应用程序，用于处理DNA测序操作，这些设备用于研究行业。这些攻击源自位于伊朗的2.176.78.42 IP地址。

“从6月12日到14日，我们看到来自伊朗IP 2.176.78.42的常规攻击，使用的是dnaTools dnaLIMS 4-2015s13中的一个问题CVE-2017-6526。根据dnatools.com, dnaLIMS™是一个基于Web的生物信息学LIMS，为科学家和研究人员提供了处理和管理DNA测序请求的独立硬件软件工具。专家发表的一篇博客文章写道。

黑客利用这个漏洞绑定一个shell并控制web服务器。

为什么是DNA测序应用程序?

攻击者可能有兴趣从应用程序的数据库中窃取DNA序列的哈希值，然后将其转售到黑暗的web上，或者破坏服务器，将其添加到僵尸网络中。

我们不能排除这些攻击背后的威胁行为者正在利用网络上随机可用的漏洞，试图破坏大量的系统。

目前还不清楚为什么攻击者将目标对准DNA测序应用程序，这些设备的数量有限(只有几十台设备暴露在网上)，而且不像黑客想要使用危害系统来实施DDoS攻击。

“袭击者的确切动机尚不清楚。与基于IPCamera或路由器的物联网设备不同，这些设备是安装在科学、学术和医疗机构的非常独特的设备。因此，这类设备的数量不是很高，而且可能对DDoS没有太大帮助。专家总结道。

“然而，在特定的情况下，成功的利用和DNA盗窃可能是卓有成效的。它要么可以在黑市上出售，要么一个高调的攻击者实际上可以寻找一个特定的人的数据。

我们不知道这个bug的补丁。事实上，当我们查看ShoreBreakSecurity最初披露的信息时，我们看到了供应商有趣的披露反应，表明他们并不把DNA盗窃当回事。”

专家还分析了与攻击者IP地址相关的历史活动，发现它还与nmap扫描以及使用Zyxel路由器(CVE-2017-6884)和Apache Struts漏洞(CVE-2017-5638)的其他两个漏洞有关。