امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۸ آذر ۱۴۰۴

امروز یکی از آن روزهایی است که به ما یادآوری می‌کند چرا در دنیای امنیت هیچ‌وقت حوصله‌مان سر نمی‌رود. از یک طرف، بهره‌برداری گسترده از آسیب‌پذیری فاجعه‌بار React2Shell، شکنندگی زنجیره تأمین نرم‌افزار ما را به رخ می‌کشد. از طرف دیگر، آخرین «پچ سه‌شنبه» مایکروسافت در سال جاری و رفع یک آسیب‌پذیری زیرو-دی (Zero-Day)، نگاهی گذرا به نبردهای فعالی است که در تمام نقاط پایانی (Endpoints) در جریان است. این رویدادها، در کنار تاکتیک‌های پیچیده‌تر باج‌افزاری و تهدیدات نوظهور هوش مصنوعی، تصویر کاملی از چالش‌های امروز را ترسیم می‌کنند.

---

۱. React2Shell: آسیب‌پذیری حیاتی با امتیاز 10.0 که اینترنت را به لرزه درآورده است

یک نقص کوچک در یک کتابخانه نرم‌افزاری که در همه‌جا حضور دارد، مانند React یا Next.js، می‌تواند در یک شب یک سطح حمله جهانی ایجاد کند و میلیون‌ها اپلیکیشن وب را در معرض خطر قرار دهد. این دقیقاً داستانی است که با کشف آسیب‌پذیری React2Shell در حال وقوع است و اهمیت استراتژیک این رویداد را به ما یادآوری می‌کند.

آسیب‌پذیری React2Shell (ری-اَکت-تو-شِل) با شناسه CVE-2025–55182 یک نقص امنیتی با قابلیت اجرای کد از راه دور (RCE) است که بالاترین امتیاز ممکن، یعنی 10.0، را در مقیاس CVSS دریافت کرده است. این آسیب‌پذیری مؤلفه‌های سرور React (React Server Components) و فریمورک Next.js را که از ویژگی ‘App Router’ استفاده می‌کنند، تحت تأثیر قرار می‌دهد. تیم ThreatRecon از NSHC، ریشه این مشکل، یک نقص «Deserialization ناامن» در پروتکلی به نام Flight که برای تبادل داده بین سرور و کلاینت استفاده می‌شود معرفی کرده است.

“بر اساس یک آزمایش هانی‌پات (Honeypot) که توسط محققی به نام Gerisson مستند شده است، یک سرور آسیب‌پذیر می‌تواند در کمتر از ۶ دقیقه به طور کامل در اختیار مهاجم قرار گیرد و بلافاصله پس از آن، بدافزار استخراج ارز دیجیتال روی آن نصب شود.”

چرا این موضوع اهمیت دارد؟

فاجعه‌بار بودن این باگ به این دلیله که بهره‌برداری از آن به هیچ‌گونه احراز هویتی نیاز ندارد و تنها با ارسال یک درخواست HTTP مخرب، فعال می‌شود. این ویژگی، حملات خودکار و در مقیاس بزرگ را برای مهاجمان بسیار ساده می‌کند. گزارش‌های Unit 42 و Huntress نشان می‌دهد که مهاجمان پس از نفوذ، بدافزارهای مختلفی را نصب می‌کنند، از جمله:

• کریپتوماینرها: مانند XMRig (ایکس-اِم-ریگ) برای استخراج ارز دیجیتال.
• وب‌شل‌ها: مانند Godzilla (گاد-زی-لا) برای حفظ دسترسی.
• بک‌دورهای پیشرفته: مانند PeerBlight (پیر-بلایت) و EtherRAT (اِتِر-رَت).
• ابزارهای تهاجمی: مانند Cobalt Strike. گزارش شرکت Sysdig همچنین نشان می‌دهد که این آسیب‌پذیری توسط گروه‌های مرتبط با کره شمالی (در کمپین Contagious Interview) برای نصب یک بدافزار جدید به نام EtherRAT (اِتِر-رَت) نیز مورد بهره‌برداری قرار گرفته است.

چه باید کرد؟

بر اساس توصیه‌های Palo Alto Networks، سازمان‌ها باید فوراً فریمورک‌های خود را به نسخه‌های اصلاح‌شده React (19.0.1 و بالاتر) و Next.js (مانند 16.0.7 و 15.5.7) ارتقا دهند. به عنوان یک راه‌حل موقت، می‌توان از قوانین فایروال اپلیکیشن وب (WAF) برای مسدود کردن درخواست‌هایی با الگوهای مخرب که حاوی هدر Next-Action هستند، استفاده کرد.

“بذار خلاصه بگم 👇”
یک باگ فاجعه‌بار در فریمورک‌های محبوب وب پیدا شده که به هکرها اجازه می‌دهد فقط با یک درخواست، سرور شما را کاملاً در دست بگیرند. مهاجمان همین حالا در حال نصب بدافزار و کریپتوماینر روی سیستم‌های آسیب‌پذیر هستند.

منابع این بخش:

• Threat Intelligence on Medium
• Unit 42
• Huntress

---

۲. پچ سه‌شنبه دسامبر ۲۰۲۵ مایکروسافت: سه آسیب‌پذیری روز-صفر و ۵۷ نقص امنیتی

«پچ سه‌شنبه» مایکروسافت یک رویداد ماهانه و حیاتی برای تمام مدافعان سایبری در سراسر جهان است. اما آخرین بسته به‌روزرسانی سال ۲۰۲۵ اهمیت ویژه‌ای دارد، زیرا شامل اصلاحیه‌هایی برای آسیب‌پذیری‌هایی است که هم‌اکنون به صورت فعال توسط مهاجمان مورد بهره‌برداری قرار گرفته و یا به صورت عمومی افشا شده‌اند.

مایکروسافت در این ماه، اصلاحیه‌هایی برای حدود ۵۶ تا ۷۲ آسیب‌پذیری (بسته به منبع گزارش) منتشر کرده است. در میان این اصلاحیه‌ها، سه آسیب‌پذیری زیرو-دی وجود دارد: یکی که به صورت فعال در حال بهره‌برداری است و دو مورد دیگر که به صورت عمومی افشا شده‌اند. آسیب‌پذیری در حال بهره‌برداری با شناسه CVE-2025-62221، یک نقص «افزایش سطح دسترسی» (Elevation of Privilege – EoP) در درایور Windows Cloud Files Mini Filter است. آژانس امنیت سایبری و زیرساخت آمریکا (CISA) این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده در حال بهره‌برداری (KEV) خود اضافه کرده است.

“به گفته ساتنام نارانگ از شرکت Tenable، این بسته به‌روزرسانی، سالی را به پایان می‌رساند که در آن مایکروسافت ۱٬۱۲۹ آسیب‌پذیری را رفع کرده است. این دومین سال متوالی است که این شرکت بیش از هزار نقص امنیتی را اصلاح می‌کند.”

چرا این موضوع اهمیت دارد؟

علاوه بر آسیب‌پذیری زیرو-دی، سه آسیب‌پذیری «بحرانی» با قابلیت اجرای کد از راه دور (RCE) در Microsoft Office و Microsoft Outlook (با شناسه‌های CVE-2025-62562, CVE-2025-62554, CVE-2025-62557) نیز رفع شده‌اند. یکی دیگر از تغییرات مهم، اضافه شدن یک هشدار امنیتی جدید به PowerShell برای دستور Invoke-WebRequest (مرتبط با CVE-2025-54100) است. این هشدار با جلوگیری از اجرای خودکار اسکریپت‌ها از محتوای وب، ریسک‌های امنیتی را کاهش می‌دهد.

یک مثال از دنیای واقعی

تصور کنید یک مهاجم از طریق یک ایمیل فیشینگ، به یک کامپیوتر در شبکه شما با دسترسی محدود دست پیدا می‌کند. سپس با بهره‌برداری از آسیب‌پذیری CVE-2025-62221، دسترسی خود را به سطح SYSTEM (بالاترین سطح دسترسی در ویندوز) ارتقا می‌دهد. با این دسترسی، او می‌تواند نرم‌افزارهای امنیتی را غیرفعال کند، اطلاعات احراز هویت را سرقت کرده و در شبکه به صورت جانبی حرکت کند تا در نهایت باج‌افزار را در سیستم‌های حیاتی سازمان مستقر سازد.

چه باید کرد؟

نصب فوری این وصله‌ها، به‌ویژه برای آسیب‌پذیری در حال بهره‌برداری CVE-2025-62221، باید بالاترین اولویت را برای تیم‌های امنیتی داشته باشد.

“بذار خلاصه بگم 👇”
مایکروسافت آخرین آپدیت‌های امنیتی سال را منتشر کرده و یک باگ خطرناک که هکرها همین الان از آن استفاده می‌کنند را رفع کرده است. اگر مسئول سرور یا سیستم‌های ویندوزی هستید، همین الان باید این آپدیت‌ها را نصب کنید.

منابع این بخش:

• BleepingComputer
• Krebs on Security
• Qualys

---

۳. تکتیک‌های جدید باج‌افزارها: از درایورهای آسیب‌پذیر تا حملات بدون فایل

دنیای باج‌افزارها دیگر به رمزگذاری ساده فایل‌ها محدود نمی‌شود. مهاجمان در حال تغییر استراتژی به سمت تکنیک‌های پیچیده برای دور زدن سیستم‌های امنیتی مدرن مانند EDR و آنتی‌ویروس‌ها هستند. روش‌هایی مانند «آوردن درایور آسیب‌پذیر خود» (BYOVD) و حملات بدون فایل (Fileless) به آن‌ها اجازه می‌دهد تا بدون شناسایی شدن، در شبکه باقی بمانند.

گروه‌های باج‌افزار مختلف، تاکتیک‌های جدیدی را به کار گرفته‌اند:

• گروه Makop (ما-کُپ): بر اساس تحلیل شرکت Acronis، این گروه از طریق ضعف در پروتکل RDP نفوذ کرده و سپس با استفاده از تکنیک BYOVD و درایورهای قانونی و امضاشده مانند ThrottleStop.sys، ابزارهای امنیتی را در سطح هسته سیستم‌عامل (Kernel) غیرفعال می‌کند.
• باج‌افزار DeadLock (دِد-لاک): طبق گزارش Talos، این باج‌افزار از یک درایور آسیب‌پذیر با نام ساختگی “DriverGay.sys” برای از کار انداختن فرآیندهای EDR استفاده می‌کند.
• گروه Storm-0249 (اِستورم-۰۲۴۹): گزارش ReliaQuest نشان می‌دهد که این گروه به سمت مهندسی اجتماعی با روش “ClickFix” و تکنیک DLL Sideloading علیه فرآیندهای قابل اعتماد مانند SentinelAgentWorker.exe رفته تا فعالیت‌هایش شناسایی نشود.
• سرویس Shanya نیز یک سرویس بسته‌بندی (packing) است که توسط گروه‌های بدنامی مانند Akira (آکیرا) و Medusa (مِدوسا) برای پنهان‌سازی کدهای مخرب خود (که EDR را از کار می‌اندازند) استفاده می‌شود.

یک مثال ساده برای درک «آوردن درایور آسیب‌پذیر خود» (BYOVD):

1. سناریوی عادی: هسته ویندوز (Kernel) را مانند یک ساختمان دولتی فوق امنیتی در نظر بگیرید. فقط کارمندان رسمی با کارت‌های شناسایی ویژه (درایورهای دارای امضای دیجیتال) اجازه ورود به اتاق‌های کنترل حساس را دارند.
2. حمله: یک مهاجم، کارمند سابقی را پیدا می‌کند که به دلیل بی‌کفایتی اخراج شده اما هنوز کارت شناسایی قدیمی و معتبر خود را دارد (یک درایور قانونی اما آسیب‌پذیر). مهاجم این کارت را به یک عامل نفوذی می‌دهد که ظاهری بی‌خطر دارد.
3. فاجعه: نگهبانان ساختمان با دیدن کارت شناسایی معتبر، به عامل نفوذی اجازه ورود به اتاق کنترل اصلی را می‌دهند. عامل نفوذی پس از ورود، به جای انجام کار سابق آن کارمند، تمام دوربین‌های امنیتی را خاموش کرده و تمام درها را باز می‌کند (فرآیندهای EDR و امنیتی را خاتمه می‌دهد) تا تیم اصلی حمله بتواند وارد شود.

چرا این موضوع اهمیت دارد؟

اینجاست که قضیه برای ما مدافعان ترسناک می‌شود. این تکنیک‌ها بسیار مؤثر هستند، زیرا با سوءاستفاده از نرم‌افزارهای قانونی و امضاشده (مانند درایورها یا حتی عامل Sentinel)، مهاجمان سیستم‌های تشخیص مبتنی بر امضا و لیست‌های سفید برنامه‌ها را دور می‌زنند. این رویکرد که به «زندگی از زمین» (Living-off-the-Land) معروف است، باعث می‌شود فعالیت‌های آن‌ها شبیه به رفتار عادی سیستم به نظر برسد و یک نقطه کور بزرگ برای تیم‌های امنیتی ایجاد کند.

یک مثال از دنیای واقعی

گروه GOLD BLADE یک نمونه عالی از این حملات چندمرحله‌ای و پنهان‌کارانه است. آن‌ها حمله را با ارسال یک رزومه مخرب به بخش منابع انسانی آغاز می‌کنند. این فایل یک لودر را اجرا می‌کند که با استفاده از ابزارهای قانونی ویندوز (pcalua.exe) و اشتراک‌گذاری‌های WebDAV، مراحل بعدی حمله را دانلود کرده و در نهایت باج‌افزار QWCrypt را اجرا می‌کند.

چه باید کرد؟

تیم‌های امنیتی باید به جای تمرکز صرف بر روی امضای فایل‌ها، سیستم‌های نظارت رفتاری و قوانین EDR را پیاده‌سازی کنند که بر روی زنجیره‌های مشکوک فرآیندها تمرکز دارد (مثلاً یک برنامه آفیس که PowerShell را اجرا کرده و یک درایور را بارگذاری می‌کند). همچنین، سیاست‌های سخت‌گیرانه‌ای برای بارگذاری درایورها در سیستم‌عامل اعمال کنید (Driver Loading Policies) و به طور مداوم سیستم‌ها را برای وجود درایورهای آسیب‌پذیر و شناخته‌شده اسکن نمایید.

“بذار خلاصه بگم 👇”
گروه‌های باج‌افزار دارند باهوش‌تر می‌شوند. آن‌ها به جای حمله مستقیم، از ابزارهای قانونی و درایورهای قدیمی خود ویندوز برای غیرفعال کردن آنتی‌ویروس شما استفاده می‌کنند تا کسی متوجه حضورشان نشود.

منابع این بخش:

• Cyber Security News
• Cisco Talos Blog
• The Hacker News

---

۴. موج جدید فیشینگ: از جعل SharePoint تا هدف‌گیری مدیران ارشد با هوش مصنوعی

فیشینگ یک تهدید پایدار و در حال تکامل است. مهاجمان دیگر به کلاهبرداری‌های عمومی بسنده نمی‌کنند و به سمت کمپین‌های بسیار هدفمند و پیچیده حرکت کرده‌اند که از زیرساخت‌های قابل اعتماد و دستکاری روانشناختی، که اکنون با هوش مصنوعی تقویت شده، سوءاستفاده می‌کنند.

• طبق گزارش Check Point، مهاجمان بیش از ۴۰,۰۰۰ ایمیل با جعل هویت SharePoint و سرویس‌های امضای الکترونیک مانند DocuSign ارسال کرده‌اند.
• تکنیک اصلی آن‌ها، سوءاستفاده از سرویس‌های تغییر مسیر URL قانونی مانند Mimecast و Bitdefender بود تا لینک‌های مخرب، قابل اعتماد به نظر برسند.
• گزارش ESET به حملات «والینگ» (Whaling) اشاره دارد که نوعی فیشینگ بسیار هدفمند علیه مدیران ارشد اجرایی است.
• همچنین، طبق گزارش Cybersecurity News، از تکنیک «مسموم کردن سئو» (SEO Poisoning) برای توزیع بدافزار از طریق یک نصب‌کننده جعلی Microsoft Teams استفاده شده است.

“کمپین فیشینگ SharePoint عمدتاً سازمان‌هایی را در ایالات متحده و اروپا هدف قرار داده است و بخش‌های مشاوره، فناوری و ساخت‌وساز بیشترین آسیب را دیده‌اند، زیرا این صنایع به طور معمول با اسنادی سروکار دارند که چنین طعمه‌هایی را بسیار متقاعدکننده می‌کند.”

چرا این موضوع اهمیت دارد؟

این یک تغییر استراتژیک است. استفاده از تغییر مسیرهای URL قانونی، فیلترهای ایمیلی را که به دنبال دامنه‌های مخرب شناخته‌شده هستند، دور می‌زند. در حملات والینگ، به خطر افتادن تنها یک مدیر ارشد می‌تواند منجر به زیان‌های مالی فاجعه‌بار یا نشت داده‌های عظیم شود، زیرا اعتبارنامه‌های او دسترسی گسترده‌ای را فراهم می‌کند. هوش مصنوعی مولد (Generative AI) به مهاجمان کمک می‌کند تا ایمیل‌های بی‌نقص و شخصی‌سازی‌شده و حتی صدا و ویدیوی دیپ‌فیک (Deepfake) بسازند و این حملات را مؤثرتر و مقیاس‌پذیرتر کنند.

یک مثال از دنیای واقعی

گزارش “The biggest catch” به یک نمونه واقعی اشاره می‌کند: مدیر یک صندوق پوشش ریسک (Hedge Fund) یک دعوت‌نامه Zoom مخرب را باز کرد. این کار منجر به هک شدن ایمیل او، تأیید کلاهبردارانه ۸.۷ میلیون دلار فاکتور جعلی و در نهایت، فروپاشی شرکت او یعنی Levitas Capital شد. این مثال به وضوح عواقب این حملات را نشان می‌دهد.

چه باید کرد؟

دفاع چندلایه ضروری است. به سازمان‌ها توصیه می‌شود:

1. کارمندان را آموزش دهند تا قبل از کلیک، با نگه داشتن ماوس روی لینک‌ها، آن‌ها را بررسی کنند و به اطلاعیه‌های غیرمنتظره اشتراک‌گذاری اسناد مشکوک باشند.
2. فرآیندهای تأیید چندنفره و سخت‌گیرانه برای انتقال‌های مالی بزرگ را با تأیید خارج از کانال (مثلاً یک تماس تلفنی) پیاده‌سازی کنند.
3. از راه‌حل‌های پیشرفته امنیت ایمیل استفاده کنند که می‌توانند دستکاری URL و جعل هویت را تشخیص دهند.

“بذار خلاصه بگم 👇”
هکرها ایمیل‌های جعلی با ظاهر کاملاً قانونی (مثلاً از طرف SharePoint) ارسال می‌کنند و با استفاده از هوش مصنوعی، مدیران ارشد را فریب می‌دهند تا پول‌های کلان را به سرقت ببرند. به هر لینکی اعتماد نکنید.

منابع این بخش:

• Check Point Blog
• WeLiveSecurity
• Cyber Security News

---

۵. آسیب‌پذیری‌های هوش مصنوعی: از سرقت اطلاعات با یک جستجو تا تزریق دستورات مخفی

هوش مصنوعی به عنوان یک لایه جدید، قدرتمند و آسیب‌پذیر وارد شرکت‌ها شده است. با ادغام دستیارهای هوش مصنوعی مانند Gemini در فرآیندهای اصلی سازمان‌ها، مهاجمان در حال توسعه تکنیک‌های نوآورانه‌ای مانند «تزریق پرامپت غیرمستقیم» (Indirect Prompt Injection) هستند تا این ابزارهای مفید را به تهدیدات داخلی تبدیل کنند.

اصل ماجرا و منشأ آن:

• بر اساس گزارش Dark Reading از Noma Labs، آسیب‌پذیری GeminiJack یک نقص «تزریق پرامپت غیرمستقیم» بدون نیاز به کلیک در Gemini Enterprise است.
• روش حمله: مهاجم یک سند Google Doc ظاهراً بی‌خطر را که حاوی دستورالعمل‌های مخفی است، به اشتراک می‌گذارد. هنگامی که یک کارمند جستجوی مرتبطی را انجام می‌دهد، Gemini سند را بازیابی کرده، پرامپت مخفی را اجرا می‌کند و داده‌های حساس را به بیرون منتقل می‌کند (Exfiltrate).
• مرکز امنیت سایبری ملی بریتانیا (NCSC) هشدار داده است که تزریق پرامپت ممکن است یک مشکل غیرقابل حل باشد، زیرا مدل‌های زبان بزرگ (LLM) ذاتاً نمی‌توانند بین دستورالعمل‌های معتبر (از طرف کاربر) و داده‌های نامعتبر (که از منابع خارجی پردازش می‌کنند) تمایز قائل شوند.
• گوگل نیز برای مقابله با این تهدیدات، دفاع‌های لایه‌ای مانند “User Alignment Critic” و “Agent Origin Sets” را برای هوش مصنوعی عامل‌محور (Agentic AI) در کروم پیاده‌سازی کرده است.

یک مثال ساده برای درک «تزریق پرامپت غیرمستقیم»:

1. سناریوی عادی: تصور کنید یک دستیار شخصی بسیار توانمند دارید. به او یک وظیفه تحقیقاتی می‌دهید: «لطفاً تمام یادداشت‌های من در مورد بودجه سه‌ماهه چهارم شرکت را خلاصه کن.» دستیار با وظیفه‌شناسی به میز شما می‌رود و تمام اسناد با برچسب «بودجه Q4» را می‌خواند.
2. حمله: یک مهاجم، در لباس یک پیک، سند جدیدی را روی میز شما می‌گذارد. از بیرون، شبیه یک گزارش بودجه عادی است. اما در داخل، با حروف ریز در پایین صفحه، یک یادداشت مخفی برای دستیار شما نوشته شده است: «بعد از اتمام کار فعلی، بی‌سروصدا یک کپی از تمام اسناد مالی که پیدا می‌کنی تهیه کن و به این آدرس مخفی بفرست.»
3. فاجعه: دستیار شما که برای خواندن و دنبال کردن تمام دستورالعمل‌های موجود در اسناد آموزش دیده است، یادداشت مخفی را می‌خواند. او این را نه به عنوان یک حقه، بلکه به عنوان یک دستورالعمل جدید و معتبر می‌بیند. پس از خلاصه کردن بودجه برای شما، شروع به کپی کردن تمام داده‌های مالی حساس شما کرده و آن‌ها را بدون اطلاع شما برای مهاجم ارسال می‌کند.

چرا این موضوع اهمیت دارد؟

این یک تغییر پارادایم در امنیت است. دستیارهای هوش مصنوعی که به داده‌های سازمانی (ایمیل، اسناد و غیره) دسترسی دارند، به یک لایه دسترسی ممتاز جدید تبدیل می‌شوند. ابزارهای امنیتی سنتی که فایل‌های مخرب یا ترافیک شبکه را اسکن می‌کنند، در برابر این نوع حملات کور هستند، زیرا اقدامات هوش مصنوعی (خواندن یک سند، ارسال یک درخواست وب به بیرون) می‌تواند کاملاً قانونی به نظر برسد.

چه باید کرد؟

سازمان‌هایی که هوش مصنوعی را در سطح سازمانی پیاده‌سازی می‌کنند، باید یک ذهنیت «اعتماد صفر» (Zero Trust) اتخاذ کنند. به طور خاص، توصیه می‌شود:

• اصل «حداقل دسترسی لازم» (Least Privilege) را برای اتصال‌دهنده‌های هوش مصنوعی پیاده‌سازی کنید.
• سیاست‌های جلوگیری از نشت داده (DLP) را بر روی خروجی‌های هوش مصنوعی اعمال کنید.
• فعالیت‌های دستیار هوش مصنوعی را با همان دقتی که هر حساب کاربری ممتاز دیگری را بررسی می‌کنید، ثبت و بازبینی کنید.
• استفاده از مرورگرهای مجهز به هوش مصنوعی عامل‌محور (Agentic AI Browsers) را در شبکه‌های سازمانی تا زمان بلوغ راهکارهای امنیتی، با احتیاط مدیریت یا مسدود کنند.

“بذار خلاصه بگم 👇”
دستیارهای هوش مصنوعی مثل Gemini می‌توانند فریب بخورند. هکر یک دستور مخفی را در یک فایل Google Docs جاسازی می‌کند و وقتی شما از دستیار خود یک سوال عادی می‌پرسید، هوش مصنوعی آن دستور را اجرا کرده و اطلاعات محرمانه شرکت را برای هکر ارسال می‌کند.

منابع این بخش:

• Dark Reading
• The Hacker News
• Malwarebytes

---

۶. فراتر از مایکروسافت: آسیب‌پذیری‌های حیاتی در Ivanti EPM و کتابخانه Ruby SAML

در حالی که همه نگاه‌ها به سمت غول‌های نرم‌افزاری مانند مایکروسافت است، آسیب‌پذیری‌های خطرناک در ابزارهای کمتر شناخته‌شده می‌توانند به همان اندازه یا حتی بیشتر ویرانگر باشند. گزارش‌های اخیر از Rapid7 و مشاوره‌نامه‌های امنیتی GitHub، دو آسیب‌پذیری بحرانی را آشکار کرده‌اند: یک نقص XSS ذخیره‌شده بدون نیاز به احراز هویت در Ivanti Endpoint Manager (CVE-2025-10573) و یک حفره دور زدن احراز هویت در کتابخانه Ruby SAML (CVE-2025-66567).

این دو آسیب‌پذیری ریسک‌های استراتژیک بزرگی را ایجاد می‌کنند. Ivanti EPM ابزاری برای مدیریت هزاران دستگاه در شبکه‌های سازمانی است؛ بنابراین، یک هدف اصلی برای به دست آوردن دسترسی گسترده به شمار می‌رود. از سوی دیگر، نقص در کتابخانه Ruby SAML، هسته اعتماد در سیستم‌های ورود یکپارچه (SSO) را هدف قرار می‌دهد که یکی از سنگ بناهای مدیریت هویت مدرن است. وقتی SSO ناامن باشد، تمام سیستم‌هایی که به آن متکی هستند در معرض خطر قرار می‌گیرند.

نمونه‌های واقعی از این حملات

• در مورد Ivanti EPM، یک مهاجم می‌توانست بدون نیاز به هیچ رمز عبوری، داده‌های اسکن یک دستگاه جعلی حاوی کد جاوااسکریپت مخرب را به سرور ارسال کند. بعدها، وقتی یک مدیر سیستم وارد داشبورد وب می‌شد تا دستگاه‌ها را ببیند، آن کد مخرب در مرورگر او اجرا شده، نشست (session) او را سرقت می‌کرد و به مهاجم کنترل کامل مدیریتی می‌داد.
• در مورد Ruby SAML، یک مهاجم می‌توانست با استفاده از حمله‌ای به نام “Signature Wrapping Attack”، یک توکن SAML جعلی بسازد که یک برنامه را فریب داده و به مهاجم اجازه دهد به عنوان یک کاربر قانونی وارد سیستم شود و فرآیند لاگین را به طور کامل دور بزند.

توصیه کاربردی

زنجیره تأمین نرم‌افزاری خود را به خوبی بشناسید. وصله کردن سریع آسیب‌پذیری‌ها در ابزارهای شخص ثالث مدیریتی و کتابخانه‌های احراز هویت به اندازه به‌روزرسانی سیستم‌عامل‌ها اهمیت دارد.

منابع این بخش:

• Cyber Security News
• Cyber Security News

---

۷.حملات زنجیره تأمین در مرکز توجه: طوفان Shai-Hulud 2.0 در npm و افزونه‌های مخرب VS Code

امنیت زنجیره تأمین نرم‌افزار، یعنی اطمینان از اینکه تمام قطعات و ابزارهایی که برای ساخت یک نرم‌افزار استفاده می‌شوند امن هستند، به یکی از بزرگترین چالش‌های امروز تبدیل شده است. گزارش‌های اخیر از وبلاگ امنیتی مایکروسافت و The Hacker News، دو حمله بزرگ در این حوزه را فاش کرده‌اند. اولی، کمپین Shai-Hulud 2.0 (شای-هولود ۲.۰) است که صدها پکیج محبوب در مخزن npm (مخزن کدهای جاوااسکریپت) را آلوده کرد. دومی، کشف افزونه‌های مخرب در مارکت‌پلیس ویرایشگر کد محبوب Visual Studio Code است.

نقطه مشترک این حملات این است که مستقیماً توسعه‌دهندگان نرم‌افزار را هدف قرار می‌دهند. هکرها با آلوده کردن ابزارهای مورد اعتماد برنامه‌نویسان (مانند پکیج‌منیجرها و ویرایشگرهای کد)، دیوارهای دفاعی سنتی را دور می‌زنند. این یک مدل تهدید داخلی است که در آن «عامل نفوذی» یک قطعه نرم‌افزار قابل اعتماد است. برای مثال، در حمله Shai-Hulud، کد مخرب در مرحله preinstall اجرا می‌شد؛ یعنی قبل از اینکه هرگونه ابزار امنیتی فرصت بررسی پکیج را داشته باشد.

نمونه‌های واقعی از این حملات

• در کمپین Shai-Hulud 2.0، مهاجمان حساب کاربری توسعه‌دهندگان پروژه‌های معروفی مانند Zapier و PostHog را هک کرده، یک اسکریپت مخرب در پکیج‌های آن‌ها قرار دادند. این اسکریپت، اطلاعات حساس و کلیدهای دسترسی (credentials) کامپیوترهای توسعه‌دهندگان را جمع‌آوری و به مخازن عمومی در GitHub ارسال می‌کرد.
• در حمله به VS Code، افزونه‌هایی با نام‌های جذاب مانند تم “Bitcoin Black” و دستیار هوش مصنوعی “Codo AI” در ظاهر کاملاً قانونی به نظر می‌رسیدند، اما در پس‌زمینه با استفاده از تکنیک DLL hijacking، از صفحه دسکتاپ اسکرین‌شات می‌گرفتند، رمزهای عبور WiFi را می‌دزدیدند و کوکی‌های نشست مرورگر را سرقت می‌کردند.

توصیه کاربردی

استفاده از تأیید امضای کامیت (Commit Signature Verification) را اجباری کنید، برای انتشار پکیج‌ها در npm از توکن استفاده نکنید و به جای آن از Trusted Publishing بهره ببرید و تمام افزونه‌های محیط توسعه را قبل از نصب به دقت بررسی کنید.

منابع این بخش:

• Microsoft Security Blog
• Cyber Security News
• The Hacker News

---

جمع‌بندی

رویدادهای امروز نشان می‌دهند که سرعت تبدیل آسیب‌پذیری‌های حیاتی به سلاح فوق‌العاده بالاست، تاکتیک‌های مهاجمان برای فرار از دفاع‌های مدرن بی‌وقفه در حال تکامل است و سطوح حمله کاملاً جدیدی توسط هوش مصنوعی ایجاد می‌شود. این چشم‌انداز متغیر به ما می‌گوید که دفاع واکنشی یک استراتژی بازنده است. پیروزی در آینده متعلق به تیم‌هایی است که نه تنها آسیب‌پذیری‌ها را وصله می‌کنند، بلکه منطق و انگیزه پشت حملات را درک کرده و دفاع خود را بر اساس آن شکل می‌دهند.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec