ITanalyze

آسیه فروردین – مایکروسافت SharePoint که در سال 2001 راه‌اندازی شده و در حوزه ذخیره و اشتراک‌گذاری اسناد پرطرفدار است، طی سال‌های اخیر، با مشکلات امنیتی مواجه شده است.

در همین رابطه مگان توبین، روزنامه‌نگار حوزه امنیت اطلاعات، با ارایه مقاله‌ای در نشریه Rest Of World از آسیب‌پذیری چندین ساله Microsoft Share Point در حوزه حملات سایبری و جذابیت و محبوبیت آن برای هکرها خبر داده است. این در حالی است که مدیریت وصله‌های امنیتی به دلیل فرایند پیچیده آن، چندان کارساز نبوده و کاربران، برای جلوگیری از هک، مدام نیازمند به‌روزرسانی این نرم‌افزار هستند.

نفوذ در اطلاعات سازمان ملل
در جولای 2019، هکرها به ده‌ها سرور رایانه در وین و ژنو، متعلق به سازمان ملل دسترسی پیدا کردند. در یکی از بزرگ‌ترین رخنه‌ها و نفوذها به اطلاعات سازمان ملل متحد، هکرها، ده‌ها هزار پرونده، قرارداد، پایگاه‌های اطلاعاتی و رمزهای عبور کارکنان را در دست داشتند.

پس از اینکه تکنسین‌ها حمله را کشف کردند، مجبور شدند حداقل تا دو روز آخر هفته کار کنند تا بیش از 40 کامپیوتر در معرض خطر را ایزوله کنند. همچنین 20 کامپیوتر باید به طور کامل بازسازی می‌شد.

هکرها با سوءاستفاده از یک آسیب‌پذیری در Microsoft Share Point، از طریق یک نرم‌افزار اشتراکی فایل به عنوان یک شبکه داخلی برای صدها هزار مشتری، شامل شرکت های چندملیتی، بانک‌ها، شرکت‌های بیمه و سازمان‌های دولتی، به سرورهای سازمان ملل دسترسی پیدا کردند.

مایکروسافت اوایل سال 2019 برای آسیب‌پذیری SharePoint اصلاحاتی لحاظ کرده بود اما بعید است این به‌روزرسانی‌ها روی سرورهای سازمان ملل نصب شده باشند.

کاربران در معرض هک
نشریه Rest of World همچنین با چهار کارشناس صحبت کرد. کارشناسان اعلام کردند صدها هزار کاربر SharePoint در سراسر جهان، در صورت عدم نصب به‌روزرسانی‌های نرم‌افزار، همچنان در معرض هک‌های مشابه هستند.

بنا بر ادعای این نشریه، در اوایل سال جاری، بازیگران تحت حمایت دولت ایران، احتمالا از همین آسیب‌پذیری برای هدف قرار دادن سرورهای دولت آلبانی در یک دوره چندماهه استفاده کردند. پس از کشف این هک، آلبانی روابط دیپلماتیک خود را با ایران قطع کرد.

داستین چایلدز، رییس آگاهی از تهدید در Trend Micro’s Zero Day Initiative گفت: جالب است که ما اینجا هستیم، سه سال و نیم پس از عرضهpatch ها یا وصله‌ها اما همچنان به طور فعال از عوامل تهدید استفاده می‌شود. بخش Zero Day Initiative  به محققان پول می‌دهد تا نقاط ضعف نرم‌افزار پرکاربرد، از جمله CVE-2019-0604 را شناسایی کنند؛ نقصی که هکرها بیش از سه سال است از آن برای دسترسی به سیستم‌های حیاتی در سراسر جهان استفاده می‌کنند.

شیوه نفوذ
مایکروسافت SharePoint که در سال 2001 راه‌اندازی شد، از سوی سازمان‌های مختلف برای ذخیره و اشتراک‌گذاری اسناد استفاده می‌شود و آنها را برای همه افراد داخل سازمان در دسترس قرار می‌دهد.

مایکروسافت گزارش داد تا سال 2017، بیش از 250 هزار سازمان، SharePoint را نصب کرده‌اند.

چایلدز می‌گوید: تعداد کسانی که نرم‌افزار را اجرا می‌کنند، میلیون‌ها نفرند.

وی که قبلا در مایکروسافت کار می‌کرد، معتقد است هکرها می‌توانند از CVE-2019-0604 با دسترسی از راه دور، به هر اطلاعاتی که یک سازمان در SharePoint ذخیره می‌کند، دست یابند.

به گفته او، از آنجایی که این باگ و شکاف «تقریبا همه چیز» به هکرها می‌دهد، «این نوع اشکالی است که مردم واقعا دوست دارند برای تهدید  از آن استفاده کنند. در حال حاضر، CVE-2019-0604 به یک نقطه دسترسی شناخته‌شده تبدیل شده که توسط گروه‌های هکر و عوامل تهدید مبتنی بر دولت، برای ورود به سیستم‌های داخلی و جمع‌آوری اطلاعات حساس یا نصب باج‌افزار مورد سوءاستفاده قرار می‌گیرد.

مایکروسافت از پاسخ دادن به سؤالات «Rest of World» درباره تعداد کاربران SharePoint که در برابر CVE-2019-0604 آسیب‌پذیر هستند، خودداری کرد.

یکی از سخنگویان شرکت پاسخ داد: برای محافظت کامل از این آسیب‌پذیری، مایکروسافت توصیه می‌کند مشتریان تمام به‌روزرسانی‌های لیست‌شده برای سیستم خود را نصب کنند.

هدف جذاب و محبوب هکرها!
استفاده گسترده از SharePoint، توسط موسسات مالی، شرکت‌های چندملیتی و سازمان های دولتی، آن را به یک هدف جذاب برای هکرها در سراسر جهان تبدیل کرده است. در سال 2019، مرکز امنیت سایبری کانادا و سازمان امنیت سایبری ملی عربستان سعودی، هر دو حملاتی مانند حمله به سازمان ملل را گزارش دادند.

به گفته شرکت امنیت سایبری Palo Alto Networks در همان سال، گروه هک بدنام Emissary Panda یا APT27 – که گفته می‌شود توسط دولت چین حمایت می‌شود، به سرورهای SharePoint متعلق به دو  کشور خاورمیانه با بهره‌برداری از CVE-2019-0604. حمله کرد.

همچنین در سال 2019، بازیگران تحت حمایت دولت ایران از آن برای حمله به یک شرکت انرژی خاورمیانه استفاده کردند.

در سال 2020، هکرهای ناشناس به دو شهرداری در ایالات متحده حمله کردند. دولت استرالیا فاش کرد که از سیستم‌های SharePoint علیه چندین هدف در این کشور استفاده شده است.

مرکز امنیت سایبری استرالیا این حملات را «مهم‌ترین و هماهنگ‌ترین هدف‌گیری سایبری علیه موسسات استرالیایی که دولت تاکنون مشاهده کرده» توصیف کرده است. در سال 2021، گروه هکری Hello/WickrMe از آن برای راه‌اندازی چندین حمله باج افزار استفاده کرد.

کلر تیلزا، یک مهندس تحقیقاتی ارشد در شرکت امنیت سایبری Tenable نیز گفت: «مهاجمان از چنین نقص‌هایی حمایت می‌کنند، زیرا این نقص‌ها در محصولاتی که در محیط‌های سازمانی، در همه‌جا حاضر هستند، وجود دارد و به آنها پایگاهی می‌دهد تا از آنجا فعالیت‌های پس از بهره‌برداری را آغاز کنند.»

آسیب‌پذیری SharePoint به قدری در بین هکرها محبوب بوده که آژانس امنیت سایبری و امنیت زیرساخت دولت ایالات متحده یا CISA، که بخشی از وزارت امنیت داخلی است، آسیب‌پذیری آن را در فهرست 10 آسیب‌پذیری بالا بین سال‌های 2016 تا 2019 قرار داده است.

این حملات پس از آن صورت گرفت که مایکروسافت قبلا وصله‌ها یاpatch های CVE-2019-0604 را در اوایل سال 2019 منتشر کرده بود اما برای محافظت از یک سیستم، هر سه وصله منتشرشده در فوریه، مارچ و آوریل 2019 – باید نصب شوند.

لزوم نصب به‌روزرسانی‌های متعدد
کارشناسان امنیت سایبری معتقدند کاربران SharePoint که اولین و حتی دومین به‌روزرسانی را نصب کرده‌اند، اگر متوجه نشده باشند که باید سومین به‌روزرسانی را انجام دهند، در معرض خطر قرار می‌گیرند. در حالت ایده‌آل، نقصی مانند این می‌توانست یکباره برطرف شود و زندگی را برای کاربران آسان‌تر کند، زیرا می‌تواند به سادگی یک اصلاح را اعمال کرده و ادامه دهد.

در مقابل، مایکروسافت، به سه به‌روزرسانی جداگانه در چند ماه نیاز داشت. خود وصله‌ها یاpatch ها نیز ناقص بودند. در عرض یک ساعت پس از انتشار اولین وصله مایکروسافت، همان محققی که CVE-2019-0604 را کشف کرد،  وصله جدید  را دور زد.

چایلدز گفت: «ما وصله‌های بد و ارتباطات نامشخصی در اطراف آنها داریم که باعث می‌شود صنعت به‌روزرسانی‌هایی را که از بسیاری جهات واقعا حیاتی هستند، کند نماید».

کوین بومونت، کارشناس امنیت سایبری که قبلا در مایکروسافت کار می‌کرد، از سال 2019 آسیب‌پذیری SharePoint را دنبال می‌کند. بومونت آن زمان گفته بود این نقص دارای پتانسیل تاثیر طولانی‌مدت است. او در توییتر نوشت: من فکر می‌کنم این، شاید یکی از بزرگ‌ترین آسیب‌پذیری‌ها در سال‌های اخیر برای صاحبان شرکت‌های متعدد باشد. پیش‌بینی بومونت به حقیقت پیوست.

حتی اگر سازمان‌ها هک نشده باشند، سازمان‌هایی که از سال ۲۰۱۹ یا قبل از آن از SharePoint استفاده می‌کنند، اگر همه به‌روزرسانی‌هایی را که از آن زمان منتشر شده‌اند، نصب نکرده باشند، می‌توانند آسیب‌پذیر باشند.

به عنوان مثال، در سال 2020، دراج میشرا که آن زمان مشاور شرکت امنیت سایبری Cognosec بود، متوجه شد که اداره مالیات بر درآمد در هند Income Tax Department  و دانشکده مدیریت MIT Sloan هر دو در معرض آسیب‌پذیری SharePoint قرار گرفته‌اند.

میشرا نوشت: پس از اینکه او یافته‌های خود را به تیم واکنش اضطراری رایانه‌ای هند و MIT گزارش کرد، سازمان‌ها آن را اصلاح کردند. من فکر می‌کنم این، یکی از بزرگ‌ترین آسیب‌‌پذیری‌ها در سال‌های اخیر خواهد بود.

فرایند پیچیده وصله‌ امنیتی
بومونت معتقد است مشکل این است که سازمان‌هایی که از SharePoint استفاده می‌کنند، هنوز آن را اصلاح نکرده‌اند، تا حدی به این دلیل که فرایند وصله‌سازی یا patching ساده نیست و بسیار پیچیده است. تماشای نسخه‌های توسعه‌یافته سه‌گانه «هابیت» و «ارباب حلقه‌ها» پشت سرهم سریع‌تر از تلاش برای به‌روزرسانی مزرعه بزرگ SharePoint است. این چیزی است که SharePoint را به یک هدف جذاب تبدیل می‌کند.

با توجه به اینکه شرکت‌ها و دولت‌های زیادی به نرم‌افزار به عنوان یک شبکه داخلی متکی هستند، اغلب برای اجرا در کنار سایر سیستم‌های ضروری، پیکربندی می‌شود و به‌روزرسانی آن را پیچیده و زمان‌بر می‌کند. هیچ‌کس نمی‌خواهد لپ‌تاپ‌هایش در حالی که منتظر به‌روزرسانی هستند، در صفحه آبی بماند؛ چه رسد به یک شبکه سرور کل شهرداری یا یک شرکت میلیارد دلاری.

به گفته بومونت، یکی دیگر از مشکلات این است که مایکروسافت از آن زمان نسخه ابری به نام SharePoint Online را راه‌اندازی کرده که وصله‌سازی را بسیار آسان‌تر می‌کند. البته همه کاربران به فضای ابری مهاجرت نکرده‌اند.

وی معتقد است اگر SharePoint Online وجود نداشت، همه مشتریان تا الان درباره patching فریاد می‌زدند.

در مقابل، این تحقیق و توسعه به فضای ابری رفته است. طبق گفته چایلدز در Zero Day Initiative، شرکت‌هایی که به فروش متکی هستند، به جز اصلاح سیستم‌هایی که قبلا فروخته‌اند، بر توسعه محصولات جدید تمرکز می‌کنند. این امر بدین معناست که توسعه وصله‌ها به ندرت در صدر فهرست قرار می‌گیرد. چایلدز معتقد است: «وضعیت وصله‌سازی واقعا در 15 سال گذشته، پیشرفت چندانی نکرده است. این، حیرت‌انگیز است.» (منبع:عصرارتباط)