هشدار آژانس‌های امنیت سایبری در رابطه با آسیب‌پذیری وبسایت‌ها و اپلیکیشن‌های تحت وب

آژانس‌های امنیت سایبری در استرالیا و ایالات متحده در گزارش جدیدی در تاریخ ۲۷ جولای ۲۰۲۳ هشدار داده‌اند که هکرها می‌توانند از انواعی از نقص‌های امنیتی در اپلیکیشن‌های تحت وب برای سرقت اطلاعات محرمانه کاربران استفاده کنند.

این نقص‌های امنیتی شامل مجموعه‌ای از باگ‌ها به نام Direct Object Reference یا به اختصار، IDOR هستند که نوعی نقص کنترل دسترسی است و زمانی رخ می‌دهد که اپلیکیشن‌های تحت وب از ورودی سمت کاربر (user-supplied input) یا شناساگر (identifier) برای دسترسی مستقیم به منابع داخلی، مثل رکورد پایگاه داده (database record) یا هر اعتبارسنجی دیگری، استفاده می‌کنند.

به عنوان مثالی معمول از نقص امنیتی IDOR می‌توان به امکان دسترسی غیرمجاز کاربر به بعضی از داده‌های منتشرنشده موجود روی دیتابیس با تغییر ساده URL اشاره کرد. در صورت وجود این نقص امنیتی در وبسایت یا اپلیکیشن تحت وب، هر کاربر عادی به سادگی می‌تواند با امتحان کردن URLهای مختلف، به داده‌هایی که نباید، دسترسی پیدا کند.

برای مثال، فرض کنید که URL یک صفحه وب به صورت زیر است:

https://example[.]site/details.php?id=12345

حالا اگر کاربر بتواند با وارد کردن عددی دیگر (مثلا 012345) در انتهای URL به جای عدد 12345، به صفحه‌ای که منتشر نشده است، دسترسی پیدا کند، می‌توان گفت که این وبسایت دارای نقص امنیتی IDOR است.

به گفته این آژانس‌های امنیتی، آسیب‌پذیری‌های IDOR، آسیب‌پذیری‌های کنترل دسترسی هستند که مجرمین سایبری و هکرها را قادر می‌سازند تا ارسال درخواست‌هایی به وبسایت‌ها یا رابط‌های کاربری اپلیکیشن‌های تحت وب(بدون مجوز) داده‌ها را حذف کنند یا تغییر دهند یا اینکه به داده‌های حساس دسترسی پیدا کنند. اگر نقصی در اجرای فرایند احراز هویت کاربر وجود داشته باشد، ممکن است که هکرها در این کار موفق شوند.

مرکز امنیت سایبری Signals Directorate's Australian (ACSC)، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و سازمان امنیت ملی ایالات متحده (NSA) بیان کرده‌اند که هکرها از این نقص‌های امنیتی برای دسترسی غیر مجاز و به خطر انداختن داده‌های شخصی، مالی و سلامت میلیون‌ها کاربر و مصرف‌کننده، سوء استفاده کرده‌اند.

پیشنهاد می‌شود که سازمان‌ها و طراحان و توسعه‌دهندگان وب، از اصول Security-by-Design-and–Default استفاده کنند تا مطمئن شوند که فرایندهای احراز هویت و اعتبارسنجی وبسایت‌ها و اپلیکیشن‌های تحت وب، روی درخواست‌های دسترسی، حذف یا تغییر داده‌های حساس، اعمال می‌شوند.

این در حالی است که چند روز پیش از این گزارش، CISA گزارشی دررابطه با تحلیل داده‌های گردآوری شده از سنجش‌های ریسک و آسیب‌پذیری (RVAs) که روی چندین شعبه اجرایی غیرنظامی فدرال (FCEB) و اپراتورهای زیرساخت‌های مهم بخش‌های عمومی و خصوصی دارای اولویت بالا انجام شده است، منتشر کرده بود.

در این مطالعه مشخص شد که استفاده از حساب‌های کاربری معتبر، رایج‌ترین تکنیک در حملات موفق است که در بیش از ۵۴ درصد از حملات هکری موفق به سازمان‌های گفته شده استفاده می‌شود. لینک‌های اسپیر-فیشینگ (spear-phishing) با ۳۳.۸ درصد، پیوست‌های اسپیر-فیشینگ با ۳.۳ درصد و سرویس‌های راه دور خارجی با ۲.۹ درصد در رتبه‌های بعدی قرار می‌گیرند.
سوء استفاده از اکانت‌های معتبر که مي‌توانند در اختیار پرسنل سابق سازمان‌ها باشند و هنوز از دایرکتوری فعال حذف نشده‌اند یا حساب‌های ادمین پیشفرض باشند با ۵۶.۱ درصد، روش اصلی تثبیت نفوذ در شبکه بوده است. ارتقاء مجوزها (escalating privileges) با ۴۲.۹ درصد و اجتناب از دفاع (defense evasion) با ۱۷.۵ درصد، دلایل بعدی تثبیت نفوذ در شبکه‌ها بوده‌اند.

به گفته CISA، سازمان‌ها برای محافظت از زیرساخت‌های خود در مقابل تکنیک حساب‌های کاربری معتبر، باید سیاست‌های قوی مثل احراز هویت چندعاملی برای مدیریت گذرواژه داشته باشند و به طور پیوسته، لاگ‌های سامانه‌های خود را تحت نظر بگیرند تا فعالیت‌های مشکوک را شناسایی کنند.