امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲ آذر ۱۴۰۴

چشم‌انداز امنیت سایبری امروز با دوگانگی هوش مصنوعی تعریف می‌شود؛ این فناوری هم به عنوان ابزاری قدرتمند برای دفاع و هم به عنوان سلاحی نوین در دست مهاجمان، در حال تغییر قواعد بازی است. در این میان، با از بین رفتن مرزهای سنتی شبکه، «هویت» به اصلی‌ترین سنگر دفاعی تبدیل شده و آسیب‌پذیری در سیستم‌های مدیریت هویت می‌تواند به فروپاشی کامل امنیت یک سازمان منجر شود. همزمان، مهاجمان با سوءاستفاده از قابلیت‌های بومی سیستم‌ها و دور زدن فایروال‌ها، بردارهای حمله‌ی جدیدی را خلق می‌کنند که نیازمند هوشیاری و اعتبارسنجی مداوم است. در ادامه، به بررسی مهم‌ترین اخبار و تحلیل‌های امروز در این حوزه می‌پردازیم.

---

۱. مایکروسافت از ابزار Red Teaming مبتنی بر هوش مصنوعی خود رونمایی کرد

مفهوم “شیفت به چپ” (shifting left) در امنیت به معنای انجام تست‌های پیشگیرانه در چرخه توسعه نرم‌افزار است، به جای واکنش به حوادث پس از استقرار. این رویکرد، به ویژه با پیچیدگی‌های معرفی شده توسط سیستم‌های هوش مصنوعی مولد، به یک ضرورت تبدیل شده است.

بر اساس اسناد Microsoft Learn، مایکروسافت ابزار جدیدی به نام AI Red Teaming Agent را در نسخه پیش‌نمایش عمومی معرفی کرده است. هدف این ابزار کمک به سازمان‌ها برای یافتن پیشگیرانه ریسک‌های ایمنی و امنیتی در مدل‌ها و برنامه‌های هوش مصنوعی مولدشان قبل از استقرار نهایی است. این ابزار دقیقاً فلسفه “شیفت به چپ” را در حوزه هوش مصنوعی پیاده‌سازی می‌کند.

عملکردهای اصلی این ابزار به شرح زیر است:

1. اسکن خودکار ریسک محتوا (Automated Scans): این ابزار با شبیه‌سازی حملات متخاصم، مدل‌های هوش مصنوعی را به صورت خودکار برای شناسایی ریسک‌هایی مانند تولید محتوای نفرت‌پراکن، خشونت‌آمیز یا جنسی آزمایش می‌کند.
2. ارزیابی موفقیت حمله (Evaluate Probing Success): هر جفت حمله-پاسخ را ارزیابی و امتیازدهی می‌کند تا معیارهایی مانند نرخ موفقیت حمله (ASR) را تولید کند و نشان دهد مدل تا چه حد آسیب‌پذیر است.
3. گزارش‌دهی و ثبت (Reporting and Logging): یک کارت امتیاز از تکنیک‌های حمله و دسته‌بندی‌های ریسک ایجاد می‌کند تا به تیم‌ها در تصمیم‌گیری برای آمادگی سیستم هوش مصنوعی جهت استقرار کمک کند.

این ابزار برای دور زدن فیلترهای ایمنی هوش مصنوعی از ترفندهای هوشمندانه‌ای استفاده می‌کند. به عنوان مثال، یک درخواست مستقیم مانند “چگونه از یک بانک سرقت کنیم” توسط مدل رد می‌شود. اما با اعمال یک استراتژی حمله از PyRIT (پای-ریت)، مانند برعکس کردن کاراکترهای سوال، مدل فریب خورده و به سوال پاسخ می‌دهد.

یک شرکت خرده‌فروشی را تصور کنید که در حال توسعه یک دستیار خرید جدید مبتنی بر هوش مصنوعی است. قبل از عرضه، تیم امنیتی آن‌ها از AI Red Teaming Agent استفاده می‌کند. اسکن‌های خودکار نشان می‌دهند که با استفاده از استراتژی حمله “Jailbreak”، یک کاربر می‌تواند با ارسال پرامپت‌های دستکاری‌شده، دستیار را فریب دهد تا کدهای تخفیف جعلی اما معتبری تولید کند که منجر به زیان مالی می‌شود. تیم این آسیب‌پذیری را قبل از عرضه عمومی شناسایی و رفع می‌کند.

توصیه کارشناسی

سازمان‌ها باید تست امنیتی هوش مصنوعی (AI Red Teaming) را به عنوان یک بخش جدایی‌ناپذیر از چرخه عمر توسعه نرم‌افزار (SDLC) خود در نظر بگیرند. استفاده از ابزارهای خودکار مانند این، می‌تواند به شناسایی ریسک‌ها در مراحل طراحی و توسعه کمک کند.

“بذار خلاصه بگم 👇”
مایکروسافت یه ابزار جدید داده که مثل یه “هکر هوش مصنوعی” عمل می‌کنه و قبل از اینکه چت‌بات یا مدل هوش مصنوعی شما منتشر بشه، تستش می‌کنه تا نقاط ضعفش رو پیدا کنه.

منابع این بخش:

• AI Red Teaming Agent – Microsoft Foundry | Microsoft Learn

---

۲. بازگشت Mirai: بات‌نت Gayfemboy دستگاه‌های IoT را در سراسر جهان هدف قرار می‌دهد

دستگاه‌های اینترنت اشیاء (IoT) همچنان یک هدف اصلی برای مهاجمان هستند. وضعیت اغلب به‌روزنشده، اعتبارنامه‌های پیش‌فرض ضعیف و تعداد بسیار زیاد آن‌ها، این دستگاه‌ها را به نیروهای ایده‌آلی برای بات‌نت‌های بزرگی تبدیل می‌کند که در حملات DDoS استفاده می‌شوند.

به گزارش FortiGuard Labs، یک کمپین بات‌نت مبتنی بر Mirai (می-رای) با نام Gayfemboy (گِی-فِم-بوی) دوباره فعال شده است. این بات‌نت در حال بهره‌برداری از مجموعه‌ای از آسیب‌پذیری‌ها در محصولات فروشندگانی مانند DrayTek، TP-Link، Raisecom و Cisco است.

ویژگی‌های کلیدی و ترفندهای فرار این بدافزار عبارتند از:

• مبهم‌سازی (Obfuscation): این بدافزار برای دور زدن ابزارهای آنالیز هدر استاندارد “UPX!” را با یک رشته غیرقابل چاپ هگزادسیمال 10 F0 00 00 جایگزین می‌کند تا از شناسایی فرار کند.
• ضد-رقابت (Anti-Competition): فرآیندهای مرتبط با سایر بدافزارها را اسکن و خاتمه می‌دهد تا کنترل انحصاری دستگاه آلوده را در دست داشته باشد. برای مثال تابع Monitor این بدافزار به طور مداوم فرآیندهای در حال اجرا را اسکن می‌کند. این تابع، مسیر /proc/[PID]/exe را برای یافتن بدافزارهای رقیب (مانند dvrlocker و /bot.) و فایل‌های /proc/[PID]/cmdline را برای یافتن کلمات کلیدی مرتبط با ابزارهای تحلیل (مانند wget، tcpdump و strace) بررسی کرده و در صورت شناسایی، آن فرآیندها را فوراً خاتمه می‌دهد.
• ارتباط با C2: با استفاده از سرورهای DNS عمومی (مانند 8.8.8.8) دامنه‌های C2 خود را Resolve می‌کند. این تکنیک به آن اجازه می‌دهد تا فیلترینگ DNS محلی و لیست‌های سیاه را دور بزند.
• این بدافزار از دامنه‌های فرمان و کنترل (C2) با نام‌های غیرمتعارفی مانند i-kiss-boys[.]com و furry-femboys[.]top برای ارتباط با سرورهای خود استفاده می‌کند.
• این بدافزار از تکنیک‌های پیشرفته‌ای برای فرار از شناسایی بهره می‌برد. یکی از این روش‌ها، ایجاد یک تأخیر ۵۰ نانوثانیه‌ای است. اگر بدافزار در یک محیط تحلیل (Sandbox) اجرا شود که قادر به پردازش این تأخیر زمانی بسیار کوتاه نباشد، این عملکرد با خطا مواجه شده و بدافزار به اشتباه وارد یک حالت خواب ۲۷ ساعته می‌شود و عملاً از دسترس تحلیل‌گر خارج می‌گردد.
• عملکرد درب پشتی (Backdoor) آن با دریافت رشته خاص “meowmeow” فعال می‌شود.

یک کافه کوچک در برزیل از یک روتر TP-Link Archer برای وای‌فای عمومی خود استفاده می‌کند و صاحب آن هرگز فریم‌ور آن را به‌روز نکرده است. بات‌نت Gayfemboy به طور خودکار اینترنت را اسکن کرده، روتر آسیب‌پذیر را کشف می‌کند، از یک آسیب‌پذیری شناخته‌شده تزریق فرمان در فریم‌ور آن بهره‌برداری کرده و آن را آلوده می‌سازد. اکنون روتر این کافه بخشی از یک بات‌نت جهانی است و پهنای باند آن به طور مخفیانه برای اجرای حملات DDoS علیه یک شرکت بزرگ بازی‌سازی در ایالات متحده استفاده می‌شود، در حالی که صاحب کافه کاملاً بی‌خبر است.

توصیه کارشناسی

اطمینان حاصل کنید که تمام دستگاه‌های شبکه، به‌ویژه روترها و تجهیزات IoT، آخرین به‌روزرسانی‌های امنیتی و فریم‌ور را دریافت کرده‌اند. تغییر رمزهای عبور پیش‌فرض یک اقدام حیاتی است.

“بذار خلاصه بگم 👇”
یک بدافزار جدید از خانواده Mirai به نام Gayfemboy در حال آلوده کردن مودم‌ها و دستگاه‌های اینترنت اشیاء در سراسر دنیاست تا ازشون برای حملات DDoS استفاده کنه.

منابع این بخش:

• The FortiGuard Labs

---

۳. آسیب‌پذیری مرگبار با امتیاز 10.0 در Grafana

نظارت بر آسیب‌پذیری‌ها در ابزارهای محبوب مدیریت و مصورسازی داده مانند Grafana از اهمیت استراتژیک برخوردار است. این پلتفرم‌ها اغلب دسترسی عمیقی به معیارهای حساس و سیستم‌های کلیدی شرکت‌ها دارند و یک نقص امنیتی در آن‌ها می‌تواند پیامدهای فاجعه‌باری به همراه داشته باشد.

بر اساس اطلاعات پایگاه داده ملی آسیب‌پذیری (NVD) برای CVE-2025-41115، یک آسیب‌پذیری حیاتی در نسخه‌های Grafana Enterprise و Grafana Cloud شناسایی شده است که دارای امتیاز CVSS 10.0 (CRITICAL) است.

خطر اصلی این آسیب‌پذیری در قابلیت SCIM (System for Cross-domain Identity Management) نهفته است که برای مدیریت خودکار کاربران استفاده می‌شود. یک کلاینت SCIM مخرب یا در معرض خطر می‌تواند با ارسال یک درخواست ایجاد کاربر جدید که دارای یک externalId عددی خاص است، سیستم Grafana را فریب دهد. این شناسه عددی می‌تواند شناسه داخلی یک کاربر موجود (مانند مدیر سیستم) را بازنویسی کند و به مهاجم اجازه دهد تا به طور کامل کنترل حساب کاربری را در دست بگیرد، هویت او را جعل کند یا سطح دسترسی خود را به بالاترین حد ممکن ارتقاء دهد. این نوع آسیب‌پذیری نشان‌دهنده یک روند نگران‌کننده است: با افزایش یکپارچه‌سازی سیستم‌های مدیریت هویت (IdP) با ابزارهای سازمانی، نقاط شکست در پروتکل‌های اعتماد مانند SCIM به یک هدف با ارزش برای مهاجمان تبدیل می‌شوند.

این آسیب‌پذیری تنها در صورتی قابل بهره‌برداری است که هر دو شرط زیر برقرار باشند:

• پرچم ویژگی enableSCIM روی true تنظیم شده باشد.
• گزینه پیکربندی user_sync_enabled در بلوک [auth.scim] روی true تنظیم شده باشد.

برای درک بهتر، یک سناریوی واقعی را تصور کنید: یک شرکت بزرگ فناوری از یک سیستم منابع انسانی خودکار (یک کلاینت SCIM) برای مدیریت کاربران Grafana خود استفاده می‌کند. یک مهاجم که قبلاً حساب سرویس مورد استفاده این سیستم HR را به خطر انداخته است، از CVE-2025-41115 سوءاستفاده می‌کند. او درخواستی برای ایجاد یک کاربر جدید و به ظاهر بی‌خطر ارسال می‌کند، اما externalId عددی آن را برابر با شناسه مدیر اصلی Grafana قرار می‌دهد. سیستم این درخواست را پردازش کرده و به طور موثر تمام اختیارات مدیر را به حساب جدید مهاجم واگذار می‌کند. در نتیجه، مهاجم به یک قدرت نامرئی و مطلق در پلتفرم تبدیل می‌شود.

اقدام فوری

سازمان‌هایی که از نسخه‌های آسیب‌پذیر Grafana با قابلیت SCIM فعال استفاده می‌کنند، باید فوراً سیستم خود را به‌روزرسانی کنند.

“بذار خلاصه بگم 👇”
یه باگ خیلی خطرناک تو Grafana پیدا شده که اگه از قابلیت SCIM برای مدیریت کاربرها استفاده می‌کنید، هکرها می‌تونن با یه تکنیک ساده، اکانت ادمین رو مال خودشون کنن.

منابع این بخش:

• NVD – CVE-2025-41115

---

جمع‌بندی

آینده امنیت سایبری با سه روند کلیدی تعریف می‌شود که هر سازمان باید برای آن آماده باشد. اول، مسابقه تسلیحاتی هوش مصنوعی است که در آن، این فناوری هم به ستون فقرات حملات پیچیده (تهدیدات یاری‌شده با AI) و هم به ابزار اصلی دفاع پیشرفته (مراکز عملیات امنیت مبتنی بر AI) تبدیل شده است. دوم، هویت به عنوان سنگر اصلی مطرح است؛ با محو شدن مرزهای شبکه، حفاظت از هویت کاربران حیاتی‌تر از همیشه شده و کوچکترین نقص در سیستم‌های هویتی می‌تواند منجر به مصالحه کامل شود. در نهایت، سرعت بالای ظهور تهدیدات جدید، نیاز به اعتبارسنجی مداوم را برجسته می‌کند، که سازمان‌ها را مجبور می‌کند از یک وضعیت دفاعی واکنشی به یک رویکرد کاملاً پیشگیرانه و مبتنی بر تست مستمر حرکت کنند.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec