آسیب‌پذیری روز صفر(zero-day) چیست؟

نقص امنیتی zero-day

در دنیای امنیت سایبری، اصطلاح “آسیب‌پذیری روز صفر” (Zero-Day Vulnerability) یکی از مفاهیمی است که توجه بسیاری از پژوهشگران را به خود جلب کرده است. این آسیب‌پذیری ‌ها تهدیدات جدی برای امنیت سیستم‌ها و اطلاعات به شمار می‌روند و مقابله با آن‌ها نیازمند دانش و مهارت بالایی است. در این مقاله، مفهوم آسیب‌پذیری روز صفر، چرایی اهمیت آن و برخی از مثال‌های واقعی بررسی می‌شوند

آسیب‌پذیری روز صفر چیست؟

“روز صفر“ اصطلاحی کلی است که به آسیب‌پذیری‌های امنیتی تازه کشف‌شده اشاره دارد، آسیب‌پذیری‌هایی که هکرها می‌توانند از آن‌ها برای حمله به سیستم‌ها استفاده کنند. اصطلاح “روز صفر“ به این معناست که توسعه‌دهنده یا شرکت سازنده تازه از این نقص باخبر شده است و “صفر روز“ برای رفع آن فرصت دارد. یک حمله‌ی روز صفر زمانی اتفاق می‌افتد که هکرها قبل از اینکه توسعه‌دهندگان بتوانند مشکل را برطرف کنند، از آن سوءاستفاده کنند.

گاهی اوقات، روز صفر به‌صورت 0-day نیز نوشته می‌شود. واژه‌های آسیب‌پذیری، اکسپلویت (Exploit) و حمله معمولاً در کنار روز صفر استفاده می‌شوند و تفاوت آن‌ها به این شکل است:

• آسیب‌پذیری روز صفر: یک نقص امنیتی در نرم‌افزار است که قبل از آگاهی شرکت سازنده توسط مهاجمان کشف می‌شود. چون شرکت‌ها از آن بی‌اطلاع هستند، هیچ وصله‌ای (Patch) برای آن وجود ندارد، و این باعث می‌شود که حملات موفقیت‌آمیز باشند.
• اکسپلویت روز صفر: روشی است که هکرها از آن برای سوءاستفاده از آسیب‌پذیری ناشناخته و حمله به سیستم‌ها استفاده می‌کنند.
• حمله‌ی روز صفر: به استفاده از یک اکسپلویت روز صفر برای نفوذ، تخریب، یا سرقت داده‌ها از یک سیستم آسیب‌پذیر گفته می‌شود.

چرخه عمر یک آسیب پذیری روز صفر

چرخه‌ی عمر یک آسیب‌پذیری روز یک آسیب‌پذیری روز صفر از لحظه‌ای که یک سیستم‌عامل، برنامه یا دستگاه منتشر می‌شود، وجود دارد، اما شرکت سازنده از آن بی‌خبر است. این آسیب‌پذیری ممکن است برای روزها، ماه‌ها یا حتی سال‌ها کشف نشده باقی بماند تا اینکه کسی آن را پیدا کند.

در بهترین حالت، محققان امنیتی یا توسعه‌دهندگان نرم‌افزار قبل از هکرها این نقص را شناسایی می‌کنند. اما گاهی اوقات، هکرها زودتر به آن دست پیدا می‌کنند.

فرقی نمی‌کند چه کسی این ضعف را کشف کند، معمولاً این موضوع خیلی زود به اطلاع عموم می‌رسد. شرکت‌ها و کارشناسان امنیتی سعی می‌کنند مشتریان را مطلع کنند تا اقدامات احتیاطی لازم را انجام دهند. از طرفی، هکرها نیز این تهدید را بین خودشان پخش می‌کنند و محققان امنیتی هم از طریق نظارت بر فعالیت‌های مجرمان سایبری از آن مطلع می‌شوند. برخی شرکت‌ها ترجیح می‌دهند آسیب‌پذیری را مخفی نگه دارند تا زمانی که یک به‌روزرسانی امنیتی یا راه‌حل مناسبی ارائه دهند، اما این یک ریسک بزرگ است. اگر هکرها زودتر از شرکت سازنده به این نقص پی ببرند، ممکن است سازمان‌ها را غافلگیر کنند.

با افشای یک آسیب‌پذیری روز صفر، یک رقابت بین تیم‌های امنیتی که به دنبال راه‌حل هستند و هکرهایی که به دنبال سوءاستفاده از این نقص‌اند، آغاز می‌شود. اگر هکرها زودتر یک اکسپلویت مناسب توسعه دهند، می‌توانند از آن برای حمله‌ی سایبری استفاده کنند.

توسعه دهندگان معمولاً سریع‌تر از هکرها دست به کار شده و وصله‌ها (Patch) را آماده میکنند. طبق برخی برآوردها، معمولاً در ۱۴ روز پس از افشای یک آسیب‌پذیری، یک اکسپلویت برای آن در دسترس قرار می‌گیرد. اما پس از شروع حملات روز صفر، شرکت‌ها معمولاً در عرض چند روز وصله‌های امنیتی ارائه می‌دهند، زیرا با تحلیل حملات می‌توانند محل دقیق نقص را شناسایی کنند.بنابراین، با اینکه آسیب‌پذیری‌های روز صفر خطرناک هستند، معمولاً هکرها نمی‌توانند برای مدت طولانی از آن‌ها سوءاستفاده کنند.

چرا آسیب‌پذیری روز صفر مهم است؟

1. بهره‌برداری فوری: مهاجمان می‌توانند فوراً پس از کشف این آسیب‌پذیری‌ها حملات خود را آغاز کنند، بدون اینکه توسعه‌دهندگان فرصت دفاع یا کاربران فرصت به‌روزرسانی داشته باشند.
2. عدم وجود راه‌حل: چون این نوع آسیب‌پذیری هنوز شناسایی نشده است، معمولاً هیچ پچ یا راه‌حل‌ی برای محافظت از سیستم وجود ندارد.
3. پیامدهای گسترده: آسیب‌پذیری‌های روز صفر می‌توانند به نشت اطلاعات، خسارات مالی و حتی تخریب زیرساخت‌های حیاتی منجر شوند.

چه کسانی هدف حملات اکسپلویت روز صفر هستند؟

یک حمله روز صفر می‌تواند از آسیب‌پذیری‌ها در سیستم‌های مختلف سوءاستفاده کند، از جمله:

• سیستم‌عامل‌ها
• مرورگرهای وب
• نرم‌افزارهای اداری
• اجزای متن‌باز
• سخت‌افزار و فریم‌ور
• دستگاه‌های اینترنت اشیاء (IoT)

قربانیان حملات روز صفر

• افرادی که از سیستم‌های آسیب‌پذیر مانند مرورگر یا سیستم‌عامل استفاده می‌کنند. هکرها می‌توانند از آسیب‌پذیری‌های امنیتی برای نفوذ به دستگاه‌ها و ساخت بات‌نت‌های بزرگ استفاده کنند.
• افرادی که به داده‌های ارزشمند تجاری دسترسی دارند، مانند مالکیت معنوی.
• دستگاه‌های سخت‌افزاری، فریم‌ور و اینترنت اشیاء.
• کسب‌وکارها و سازمان‌های بزرگ.
• آژانس‌های دولتی.
• هدف‌های سیاسی و تهدیدات امنیت ملی.

 حملات  هدفمند و غیرهدفمند روز صفر

• حملات هدفمند روز صفر علیه هدفهای بالقوه ارزشمند مانند سازمان‌های بزرگ، آژانس‌های دولتی، یا افراد برجسته انجام می‌شوند.
• حملات غیرهدفمند روز صفر معمولاً علیه کاربران سیستم‌های آسیب‌پذیر مانند سیستم‌عامل یا مرورگر انجام می‌شوند.

حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمی‌دهند، تعداد زیادی از مردم همچنان می‌توانند تحت تأثیر حملات روز صفر قرار بگیرند، که معمولاً به‌عنوان خسارت جانبی است. حملات غیرهدفمند معمولاً به‌دنبال جلب توجه به بیشترین تعداد کاربران هستند، به این معنی که داده‌های کاربران عادی ممکن است تحت تأثیر قرار بگیرند.

چه کسانی حملات روز صفر را انجام می‌دهند؟

• مجرمان سایبری : هکرهایی که انگیزه آن‌ها معمولاً سود مالی است.
• هکتیویست‌ها : هکرهایی که به‌دلیل دلایل سیاسی یا اجتماعی حملات را انجام می‌دهند و می‌خواهند حملات‌شان به‌طور عمومی دیده شود تا توجه به هدف آن‌ها جلب شود.
• جاسوسی شرکتی : هکرهایی که برای دست‌یابی به اطلاعات مربوط به شرکت‌ها اقدام به نفوذ می‌کنند.
• جنگ سایبری : کشورها یا بازیگران سیاسی که به جاسوسی یا حمله به زیرساخت‌های سایبری کشور دیگر می‌پردازند.

مثال‌های واقعی از آسیب‌پذیری‌  و حملات روز صفر

• استاکس نت Stuxnet

  استاکس نت یک حمله سایبری بود که برای ما بسیار آشناست استاکس‌نت یک کرم رایانه‌ای پیشرفته بود که از چهار آسیب‌پذیری روز صفر در سیستم‌عامل ویندوز مایکروسافت سوءاستفاده می‌کرد. در سال ۲۰۱۰، این بدافزار برای حملات سایبری به تأسیسات هسته‌ای ایران مورد استفاده قرار گرفت. پس از نفوذ استاکس‌نت به سیستم‌های رایانه‌ای یک نیروگاه هسته‌ای، دستورات مخربی به سانتریفیوژهای غنی‌سازی اورانیوم ارسال کرد. این دستورات باعث شدند که سانتریفیوژها با سرعت بسیار بالا بچرخند و در نهایت از کار بیفتند. در مجموع، ۱۰۰۰ سانتریفیوژ بر اثر این حمله تخریب شدند.

• آسیب‌پذیری EternalBlue:

  این آسیب‌پذیری توسط آژانس امنیت ملی آمریکا (NSA) کشف شد و بعدها توسط گروه Shadow Brokers به بیرون درز کرد. این آسیب‌پذیری به حملات معروفی همچون WannaCry و NotPetya منجر شد.اطلاعات بیشتر درباره EternalBlue

• آسیب‌پذیری CVE-2021-40444:

  این آسیب‌پذیری در Microsoft Office و Windows کشف شد و امکان اجرای کدهای مخرب از راه دور را فراهم می‌کرد. جزئیات بیشتر در CVE-2021-40444

• آسیب‌پذیری Log4Shell:

  Log4Shell یک آسیب‌پذیری روز صفر در کتابخانه Log4J بود، یک کتابخانه متن‌باز جاوا که برای ثبت پیام‌های خطا استفاده می‌شود. هکرها می‌توانستند از این نقص برای کنترل از راه دور تقریباً هر دستگاهی که برنامه‌های جاوا را اجرا می‌کند، استفاده کنند. از آنجا که Log4J در برنامه‌های محبوبی مانند Apple iCloud و Minecraft به کار می‌رود، ده‌ها میلیون دستگاه در معرض خطر قرار داشتند. پایگاه داده CVE (Common Vulnerabilities and Exposures) از MITRE به Log4Shell بالاترین نمره خطر ممکن، یعنی ۱۰ از ۱۰، را اختصاص داد. . این آسیب‌پذیری از ۲۰۱۳ وجود داشت، اما هکرها از ۲۰۲۱ شروع به سوءاستفاده از آن کردند. پس از کشف آسیب‌پذیری، به سرعت وصله‌ای برای آن منتشر شد، اما محققان امنیتی متوجه شدند که هنوز حملات بیشتری از این آسیب‌پذیری صورت گرفته است توضیحات کامل درباره Log4Shell

راه‌های مقابله با آسیب‌پذیری‌های روز صفر

• پیشگیری از اکسپلویت‌ها و حملات روز صفر: تیم‌های امنیتی اغلب در برابر آسیب‌پذیری‌های روز صفر در موقعیت ضعیفی قرار دارند. زیرا این نقص‌ها ناشناخته و بدون وصله هستند، و سازمان‌ها نمی‌توانند آن‌ها را در مدیریت ریسک‌های امنیت سایبری یا کاهش آسیب‌پذیری‌ها لحاظ کنند.با این حال، شرکت‌ها می‌توانند اقداماتی برای کشف آسیب‌پذیری‌های بیشتر و کاهش تأثیر حملات روز صفر انجام دهند.
• مدیریت وصله‌ها:زمانی که شرکت‌ها از آسیب‌پذیری‌های روز صفر مطلع می‌شوند، معمولاً سریعاً به‌روزرسانی‌های امنیتی منتشر می‌کنند، اما بسیاری از سازمان‌ها فراموش می‌کنند که این وصله‌ها را به‌سرعت اعمال کنند. یک برنامه مدیریت وصله رسمی می‌تواند به تیم‌های امنیتی کمک کند که از این وصله‌های حیاتی مطلع شوند.
• مدیریت آسیب‌پذیری‌ها:ارزیابی‌های عمیق آسیب‌پذیری و آزمایش‌های نفوذ می‌توانند به شرکت‌ها کمک کنند تا آسیب‌پذیری‌های روز صفر را پیش از اینکه هکرها به آن‌ها پی ببرند، شناسایی کنند.
• مدیریت سطح حمله (ASM):ابزارهای ASM به تیم‌های امنیتی کمک می‌کنند تا تمام دارایی‌ها در شبکه‌های خود را شناسایی کنند و آن‌ها را برای آسیب‌پذیری‌ها بررسی نمایند. این ابزارها شبکه را از دیدگاه یک هکر ارزیابی می‌کنند و بر این تمرکز دارند که هکرها چگونه ممکن است از دارایی‌ها برای نفوذ به سیستم‌ها سوءاستفاده کنند. چون ابزارهای ASM به سازمان‌ها کمک می‌کنند تا شبکه‌های خود را از نگاه حمله‌کننده ببینند، می‌توانند آسیب‌پذیری‌های روز صفر را کشف کنند.
• فیدهای اطلاعات تهدید:محققان امنیتی اغلب جزو اولین کسانی هستند که آسیب‌پذیری‌های روز صفر را شناسایی می‌کنند. سازمان‌هایی که اطلاعات تهدید خارجی را به‌روز نگه می‌دارند، ممکن است زودتر از سایرین از آسیب‌پذیری‌های جدید روز صفر مطلع شوند.
• روش‌های شناسایی مبتنی بر انحراف:بدافزارهای روز صفر ممکن است از روش‌های شناسایی مبتنی بر امضا فرار کنند، اما ابزارهایی که از یادگیری ماشین برای شناسایی فعالیت‌های مشکوک به‌طور لحظه‌ای استفاده می‌کنند، می‌توانند حملات روز صفر را شناسایی کنند. برخی از راه‌حل‌های شناسایی مبتنی بر انحراف شامل تحلیل رفتار کاربران و موجودیت‌ها (UEBA)، پلتفرم‌های XDR، ابزارهای EDR، و برخی سیستم‌های شناسایی و جلوگیری از نفوذ هستند.
• معماری اعتماد صفر (Zero Trust):اگر یک هکر از یک آسیب‌پذیری روز صفر برای نفوذ به یک شبکه استفاده کند، معماری اعتماد صفر می‌تواند آسیب‌ها را محدود کند. اعتماد صفر از احراز هویت مداوم و دسترسی حداقلی برای جلوگیری از حرکت جانبی و مسدود کردن مهاجمین برای دسترسی به منابع حساس استفاده می‌کند.
• دمو:برای تجربه یک تجربه شبیه‌سازی حمله سایبری از X-Force Cyber Range بپرسید.

نتیجه‌گیری

آسیب‌پذیری روز صفر یکی از بزرگ‌ترین چالش‌های امنیت سایبری است که می‌تواند اثرات مخربی بر سازمان‌ها و کاربران داشته باشد. آگاهی از این نوع تهدیدات و استفاده از روش‌های مقابله، گامی مهم در افزایش امنیت اطلاعات است. با شناسایی و مطالعه مثال‌های واقعی مانند EternalBlue یا Log4Shell، می‌توانیم آمادگی بهتری در مواجهه با این تهدیدات داشته باشیم.