تهدید مداومِ آسیب‌پذیری‌های امنیتی اصلاح‌نشده

نرم‌افزار بدون وصله یک کد کامپیوتری حاوی نقاط ضعفِ امنیتیِ شناخته شده است. آسیب‌پذیری اصلاح‌نشده به نقاط ضعفی اشاره می‌کنند که به مهاجمان اجازه می‌دهد از یک باگ امنیتی شناخته‌شده که وصله نشده است با اجرای کدهای مخرب استفاده کنند. فروشندگان نرم‌افزار وقتی از آسیب‌پذیری‌های نرم‌افزار مطلع می‌شوند، ضمیمه‌هایی به کدها می‌نویسند که به‌عنوان «وصله‌ها» شناخته می‌شوند تا از این ضعف‌ها محافظت کنند.

دشمنان اغلب نرم‌افزار شما را بررسی می‌کنند و به دنبال سیستم‌های اصلاح‌نشده می‌گردند و به‌طور مستقیم یا غیرمستقیم به آن‌ها حمله می‌کنند. اجرای نرم‌افزار بدون وصله خطرناک است. این به این دلیل است که مهاجمان قبل از انتشار یک وصله، زمان لازم را برای آگاهی از آسیب‌پذیری‌های وصله‌نشده‌ی نرم‌افزاری[۱] دریافت می‌کنند.

گزارشی[۲] نشان داد که آسیب‌پذیری‌های اصلاح‌نشده سازگارترین و ابتدایی‌ترین بردارهای حمله‌ی باج‌افزارها هستند. ثبت شد که در سال ۲۰۲۱، ۶۵ آسیب‌پذیری[۳] جدید به وجود آمد که به باج افزار مرتبط بود. همچنین مشاهده شد که رشد ۲۹ درصدی در مقایسه با تعداد آسیب‌پذیری‌ها در سال ۲۰۲۰ داشته است.

گروه‌های درگیر در باج‌افزار دیگر فقط روی نمونه‌های واحدِ بدون وصله متمرکز نیستند. آن‌ها شروع به بررسی گروه‌های آسیب‌پذیری متعدد، برنامه‌های شخص ثالث مستعد آسیب‌پذیری، پروتکل‌های مربوط به فناوری و غیره کرده‌اند. لازم به ذکر است که این گروه‌ها تا حدی پیش رفته‌اند که با جذب افراد داخلی حملاتی را انجام می‌دهند.

هشدارهایی[۴] در مورد تهدیدات امنیت سایبری ناشی از آسیب‌پذیری‌های اصلاح‌نشده برای نهادهای زیرساختی حیاتی توسط نهادهای دولتی مختلف مانند FBI، آژانس امنیت ملی، آژانس امنیت سایبری و امنیت زیرساخت و وزارت امنیت داخلی صادر شده است.

این وبلاگ چند نمونه از آسیب‌پذیری‌ها و اینکه چگونه به‌روزرسانیِ برنامه‌ها می‌تواند به جلوگیری از حملات سایبری کمک کند را موردبحث قرار می‌دهد.

۳ آسیب‌پذیری برتر در سال ۲۰۲۱

مؤسسه‌ی ملی استاندارد و فناوری (NIST) گزارش داد که در سال ۲۰۲۱ تعداد ۱۸۳۷۸ آسیب‌پذیری[۵] پیدا کرده است. طبق گزارش HackerOne، آسیب‌پذیری‌های نرم‌افزاری در سال ۲۰۲۱ نسبت به سال ۲۰۲۰ به مقدار ۲۰ درصد[۶] افزایش یافته است.

Common Weakness Enumeration یا فهرستی از انواع ضعف‌های نرم‌افزاری و سخت‌افزاریِ توسعه‌یافته توسط جامعه، ۲۵ نقطه‌ضعف نرم‌افزاری خطرناک[۷] را ثبت کرد (۲۵ برتر CWE). این فهرست شامل رایج‌ترین و تأثیرگذارترین مسائلی است که در دو سال گذشته تجربه شده است. سه آسیب‌پذیری بزرگِ ثبت‌شده در سال ۲۰۲۱ عبارت‌اند از:

نوشتن خارج از محدوده: در این نوع[۸] آسیب‌پذیری، نرم‌افزار داده‌ها را از انتهای بافر موردنظر یا قبل از شروع آن می‌نویسد. این منجر به خراب شدن داده‌ها، خرابی یا اجرای کد می‌شود. به زبان ساده باعث تخریب حافظه می‌شود. این نتیجه نوشتن در حافظه نامعتبر یا چیزی است که فراتر از محدوده بافر است. کپی متوالی داده‌های بیش‌ازحد که از یک مکان سرچشمه می‌گیرد، تنها یکی از دلایل دیگر است.
Cross-site Scripting: به این مورد «خنثی‌سازی نادرست ورودی در طول تولید صفحه وب» نیز می‌گویند. در اینجا، ورودی کنترل‌شده توسط کاربر خنثی نمی‌شود یا قبل از اینکه در خروجی قرار گیرد که سپس به‌عنوان یک صفحه وب برای سایر کاربران استفاده شود، خنثی نمی‌شود.

این آسیب‌پذیری‌های نرم‌افزاری[۹] مهاجمان را قادر می‌سازد تا اسکریپت‌های سمت کلاینت را به صفحات وب که توسط سایر کاربران مشاهده می‌شوند، معرفی کنند. این موارد برای دور زدن کنترل‌های دسترسی مانند سیاست همان مبدأ استفاده می‌شود.

خواندن خارج از محدوده: نرم‌افزار، داده‌ها را از انتها یا قبل از شروع بافر موردنظر در این نوع آسیب‌پذیریِ برنامه[۱۰] می‌خواند. هکرها می‌توانند از طریق نشت حافظه غیرمجاز به اطلاعات حساس دسترسی پیدا کنند و سیستم را خراب کنند. خرابی زمانی رخ می‌دهد که یک قطعه کد خارجی سعی می‌کند مقادیر متغیری از داده را بخواند. هنگامی‌که به یک نگهبان برخورد می‌کند، عملیات خواندن در طول فرآیند متوقف می‌شود، که منجر به سرریز بافر یا خطای segmentation می‌شود.

چرا به‌روزرسانی برنامه‌ها مهم است؟

با آزمایش نرم‌افزار با استفاده از ابزارهای ارزیابی آسیب‌پذیری برنامه[۱۱]، تست جعبه سفید، تست جعبه سیاه و سایر تکنیک‌ها و به‌روزرسانی منظم آن، می‌توان از آسیب‌پذیری‌های نرم‌افزار جلوگیری کرد. شما می‌توانید مجموعه‌ای از اصولی را تعریف کنید که در توسعه هر نسخه نرم‌افزار باید رعایت شود تا از آسیب‌پذیری‌ها جلوگیری شود. کد خود را به‌صورت دیجیتالی با استفاده از گواهی امضای کد برای حفظ یک کد ضد دست‌کاری امضا کنید. این به تضمین امنیت دیجیتال و جلوگیری از مشکلات امنیتی کمک می‌کند.

یک فرآیند مدیریتِ وصله‌ی ایده‌آل و مؤثر باید شامل یک سیستم ممیزی برای شناسایی وصله‌ها و سیستم‌های آسیب‌پذیر، استقرار به‌روزرسانی‌ها و خودکارسازی فرآیند مدیریت وصله باشد.

به‌روزرسانی نرم‌افزار می‌تواند شامل تعمیر حفره‌های امنیتی و افزودن ویژگی‌های جدید و یا وصله‌های نرم‌افزاری باشد. موارد منسوخ‌شده را می‌توان از دستگاه شما حذف کرد و ویژگی‌های جدیدی را برای ارتقای امنیت برنامه و جلوگیری از آسیب‌پذیری‌های اصلاح‌نشده معرفی کرد.

حفره‌های امنیتی پوشیده شده‌اند و اطلاعات شما در برابر هکرها محافظت می‌شود. این به جلوگیری از دسترسی مهاجمان به اطلاعات و اسناد شخصی کمک می‌کند، که ممکن است برای ارتکاب جرم مورد سوءاستفاده قرار گیرند. داده‌ها در صورت حملات باج افزاری رمزگذاری می‌شوند. رفع آسیب‌پذیری‌ها در برنامه‌ها همچنین می‌تواند شانس دسترسی هکرها به داده‌های افرادی که با آن‌ها تماس می‌گیرید را کاهش دهد.

یک حادثه هک می‌تواند تصویر شرکت شما را خراب کند. این یکی از مهم‌ترین دلایلی است که چرا باید یک فرآیند مدیریت آسیب‌پذیری و وصله‌ی مؤثر در دست داشته باشید و برنامه‌های خود را مرتباً به‌روزرسانی کنید.

نتیجه‌گیری

گزارش Redscan Labs نشان داد که ۹۰ درصد از آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) که در سال ۲۰۲۱ کشف شدند، می‌توانند بدون هیچ مهارت فنی توسط مهاجمان مورد سوءاستفاده قرار گیرند. این گزارش ۵۴ درصد از آسیب‌پذیری‌ها را به‌عنوان در دسترس بودن «بالا» طبقه‌بندی می‌کند. این بدان معنی است که آن‌ها به‌راحتی و به‌راحتی توسط هکرها قابل‌دسترسی یا بهره‌برداری هستند.

این امر باعث می‌شود که درک کنیم CVE چیست و برای جلوگیری از آن‌ها چه باید کرد. اولین قدم برای این کار تجزیه‌وتحلیل و به‌روزرسانی منظم برنامه‌های خود با ابزارهای نظارت بر امنیت مانند Indusface WAS است [۱۲]. ثانیاً، یک راه مؤثر برای جلوگیری از دست‌کاری وب‌سایت شما، استفاده از گواهی امضای کد است.

آسیب‌پذیری‌های اصلاح‌نشده برای امنیت دیجیتال و امنیت داده‌های شما خطرناک هستند. بنابراین، بر فروشندگان نرم‌افزار واجب است که روش‌هایی را برای اطمینان از اصلاح آسیب‌پذیری‌های وب‌سایت‌ها و برنامه‌ها درک کرده و دنبال کنند.

منابع

[۱] https://www.indusface.com/blog/what-is-virtual-patching-and-how-it-is-helpful-in-vulnerability-management

[۲] https://www.businesswire.com/news/home/20220126005014/en/Ransomware-2021-Year-End-Report-Reveals-Hackers-are-Increasingly-Targeting-Zero-Day-Vulnerabilities-and-Supply-Chain-Networks-for-Maximum-Impact

[۳] https://healthitsecurity.com/news/unpatched-vulnerabilities-remain-primary-ransomware-attack-vector

[۴] https://healthitsecurity.com/news/dhs-warns-of-potential-russian-cyberattacks-on-critical-infrastructure

[۵] https://www.zdnet.com/article/with-18376-vulnerabilities-found-in-2021-nist-reports-fifth-straight-year-of-record-numbers

[۶] https://www.hackerone.com/press-release/software-vulnerabilities-increase-20-2021

[۷] https://apa.aut.ac.ir/?p=8201

[۸] https://cwe.mitre.org/data/definitions/787.html

[۹] https://cwe.mitre.org/data/definitions/79.html

[۱۰] https://cwe.mitre.org/data/definitions/125.html

[۱۱] https://www.indusface.com/blog/key-features-of-the-best-vulnerability-scanning-tools