آسیب‌پذیری‌های بحرانی روز صفر: هشدار فوری

متخصصان امنیتی و مدیران سیستم در حالت آماده‌باش کامل قرار دارند، زیرا شرکت‌های مایکروسافت، فورتی‌نت و ایوانتی هشدارهای امنیتی مهمی را در مورد آسیب‌پذیری‌های روز صفر که به طور فعال در محصولاتشان مورد سوء استفاده قرار می‌گیرند، منتشر کرده‌اند. این آسیب‌پذیری‌ها یک خطر جدی برای سازمان‌ها محسوب می‌شوند و می‌توانند منجر به دسترسی غیرمجاز، نقض داده‌ها و به خطر افتادن سیستم شوند. توصیه می‌شود برای کاهش تهدیدات احتمالی، فورا وصله‌ها (Patch) را نصب و راهکارهای پیشنهادی را پیاده‌سازی کنید.

وصله‌های مایکروسافت آسیب‌پذیری‌های مورد سوء استفاده فعال و افشا شده عمومی را هدف قرار می‌دهند

انتشار اخیر وصله‌های امنیتی مایکروسافت شامل رفع نقص‌های متعدد نگران‌کننده است، از جمله پنج مورد که قبلاً به طور فعال مورد سوء استفاده قرار گرفته‌اند، به همراه دو آسیب‌پذیری روز صفر که به طور عمومی افشا شده‌اند. نقص‌های فعالانه مورد سوء استفاده قرار گرفته یک تهدید جدی هستند، زیرا عوامل مخرب به طور فعال از آن‌ها برای به خطر انداختن سیستم‌ها استفاده می‌کنند.

جزئیات آسیب‌پذیری‌های مورد سوء استفاده فعال

آسیب‌پذیری‌های زیر به عنوان آسیب‌پذیری‌هایی که به طور فعال مورد سوء استفاده قرار می‌گیرند شناسایی شده‌اند:

• Microsoft DWM Core Library (CVE-2025-30400): این آسیب‌پذیری در Desktop Window Manager (DWM) Core Library می‌تواند به یک مهاجم اجازه دهد تا امتیازات خود را به سطح SYSTEM ارتقا دهد. این بدان معناست که یک مهاجم می‌تواند کنترل کامل سیستم آسیب‌دیده را به دست گیرد.
• Windows Common Log File System (CVE-2025-32701 and CVE-2025-32706): دو آسیب‌پذیری جداگانه در Windows Common Log File System (CLFS) نیز می‌تواند به یک مهاجم اجازه دهد تا به امتیازات سطح SYSTEM دست یابد. CLFS یک سرویس ثبت عمومی است که توسط اجزای مختلف ویندوز استفاده می‌شود.
• Windows Ancillary Function Driver (CVE-2025-32709): یک آسیب‌پذیری در Windows Ancillary Function Driver نیز می‌تواند به طور مشابه منجر به ارتقاء امتیازات به سطح SYSTEM شود.
• Microsoft Scripting Engine (CVE-2025-30397): یک آسیب‌پذیری فساد حافظه در Microsoft Scripting Engine وجود دارد که می‌تواند به یک مهاجم اجازه دهد کد دلخواه را اجرا کند. این می‌تواند به یک مهاجم اجازه دهد نرم‌افزارهای مخرب را روی سیستم آسیب‌دیده اجرا کند.

آسیب‌پذیری‌های افشا شده عمومی

علاوه بر آسیب‌پذیری‌های مورد سوء استفاده فعال، مایکروسافت همچنین به دو آسیب‌پذیری روز صفر که به طور عمومی افشا شده‌اند، رسیدگی کرده است:

• Microsoft Defender (CVE-2025-26685): یک آسیب‌پذیری جعل هویت در Microsoft Defender وجود دارد که می‌تواند به یک مهاجم اجازه دهد تا از طریق یک شبکه مجاور، حساب دیگری را جعل کند.
• Visual Studio (CVE-2025-32702): یک آسیب‌پذیری اجرای کد از راه دور در Visual Studio می‌تواند به یک مهاجم غیرمجاز اجازه دهد کد را به صورت محلی اجرا کند.

آسیب‌پذیری‌های بحرانی نیازمند اولویت‌بندی

فراتر از نقص‌های مورد سوء استفاده فعال و افشا شده عمومی، مایکروسافت همچنین وصله‌هایی را برای شش آسیب‌پذیری بحرانی صادر کرده است که اگرچه در حال حاضر مشخص نیست که مورد سوء استفاده قرار گرفته‌اند، اما باید برای وصله‌کردن در اولویت قرار گیرند. این آسیب‌پذیری‌ها بر محصولات مختلف مایکروسافت از جمله موارد زیر تأثیر می‌گذارند:

• Microsoft Office (CVE-2025-30377 and CVE-2025-30386): دو آسیب‌پذیری بحرانی در Microsoft Office شناسایی شده است که به طور بالقوه امکان اجرای کد از راه دور را فراهم می‌کند.
• Microsoft Power Apps (CVE-2025-47733): یک آسیب‌پذیری بحرانی در Microsoft Power Apps کشف شده است که می‌تواند منجر به دسترسی غیرمجاز یا اجرای کد شود.
• Remote Desktop Gateway Service (CVE-2025-29967): یک آسیب‌پذیری بحرانی در Remote Desktop Gateway Service وجود دارد که می‌تواند به یک مهاجم اجازه دهد سیستم را به خطر بیندازد.
• Windows Remote Desktop (CVE-2025-29966): یک آسیب‌پذیری بحرانی در Windows Remote Desktop پیدا شده است که به طور بالقوه منجر به اجرای کد از راه دور می‌شود.

فورتی‌نت به آسیب‌پذیری بحرانی در چندین محصول رسیدگی می‌کند

فورتی‌نت یک هشدار امنیتی در مورد یک آسیب‌پذیری بحرانی منتشر کرده است که بر چندین محصول آن، از جمله FortiVoice، FortiMail، FortiNDR، FortiRecorder و FortiCamera تأثیر می‌گذارد.

این آسیب‌پذیری، یک سرریز بافر مبتنی بر پشته، دارای امتیاز شدت CVSS v4 برابر با 9.6 (CVSS v3.1: 9.8) است که نشان‌دهنده شدت بالای آن است. این آسیب‌پذیری می‌تواند از راه دور توسط یک مهاجم غیرمجاز با ارسال درخواست‌های HTTP حاوی یک کوکی هش (Hash Cookie) ویژه ساخته‌شده، مورد سوء استفاده قرار گیرد. سوء استفاده موفقیت‌آمیز می‌تواند منجر به اجرای کد دلخواه شود و به یک مهاجم اجازه می‌دهد تا کنترل کامل دستگاه آسیب‌دیده را به دست گیرد.

سوء استفاده مشاهده شده در FortiVoice

فورتی‌نت تأیید کرده است که سوء استفاده فعال از این آسیب‌پذیری را در دستگاه‌های FortiVoice مشاهده کرده است. مهاجمان در حال اسکن شبکه‌های دستگاه، پاک کردن گزارش‌های خرابی سیستم و فعال کردن اشکال‌زدایی fcgi برای ضبط اعتبارنامه‌های وارد شده در طول تلاش‌های ورود به سیستم یا SSH هستند.

محصولات و نسخه‌های تحت تأثیر

این آسیب‌پذیری، که با شناسه CVE-2025-32756 پیگیری می‌شود، نسخه‌های محصول زیر را تحت تأثیر قرار می‌دهد. اکیداً توصیه می‌شود فوراً به نسخه‌های ثابت مشخص شده ارتقا دهید:

• FortiVoice:
  • 7.2.0: به 7.2.1 یا بالاتر ارتقا دهید
  • 7.0.0 تا 7.0.6: به 7.0.7 یا بالاتر ارتقا دهید
  • 6.4.0 تا 6.4.10: به 6.4.11 یا بالاتر ارتقا دهید
• FortiRecorder:
  • 7.2.0 تا 7.2.3: به 7.2.4 یا بالاتر ارتقا دهید
  • 7.0.0 تا 7.0.5: به 7.0.6 یا بالاتر ارتقا دهید
  • 6.4.0 تا 6.4.5: به 6.4.6 یا بالاتر ارتقا دهید
• FortiMail:
  • 7.6.0 تا 7.6.2: به 7.6.3 یا بالاتر ارتقا دهید
  • 7.4.0 تا 7.4.4: به 7.4.5 یا بالاتر ارتقا دهید
  • 7.2.0 تا 7.2.7: به 7.2.8 یا بالاتر ارتقا دهید
  • 7.0.0 تا 7.0.8: به 7.0.9 یا بالاتر ارتقا دهید
• FortiNDR:
  • 7.6.0: به 7.6.1 یا بالاتر ارتقا دهید
  • 7.4.0 تا 7.4.7: به 7.4.8 یا بالاتر ارتقا دهید
  • 7.2.0 تا 7.2.4: به 7.2.5 یا بالاتر ارتقا دهید
  • 7.1: به یک نسخه ثابت مهاجرت کنید
  • 7.0.0 تا 7.0.6: به 7.0.7 یا بالاتر ارتقا دهید
  • 1.1 تا 1.5: به یک نسخه ثابت مهاجرت کنید
• FortiCamera:
  • 2.1.0 تا 2.1.3: به 2.1.4 یا بالاتر ارتقا دهید
  • 2.0: به یک نسخه ثابت مهاجرت کنید
  • 1.1: به یک نسخه ثابت مهاجرت کنید

شاخص‌های به خطر افتادن و مراحل کاهش

فورتی‌نت شاخص‌های به خطر افتادن (IOCs) را در هشدار امنیتی خود ارائه کرده است تا به سازمان‌ها در شناسایی تلاش‌های سوء استفاده احتمالی کمک کند. اگر وصله‌کردن فوری امکان‌پذیر نیست، فورتی‌نت توصیه می‌کند به عنوان یک اقدام کاهشی، به‌طور موقت رابط کاربری مدیریت HTTP/HTTPS را غیرفعال کنید.

ایوانتی به آسیب‌پذیری‌های اجرای کد از راه دور در Endpoint Manager Mobile رسیدگی می‌کند

ایوانتی یک هشدار امنیتی منتشر کرده است که به دو آسیب‌پذیری مؤثر بر راهکار Endpoint Manager Mobile (EPMM) آن می‌پردازد. این آسیب‌پذیری‌ها، در صورت زنجیر شدن به یکدیگر، می‌توانند منجر به اجرای کد از راه دور غیرمجاز شوند. ایوانتی اعلام کرده است که این آسیب‌پذیری‌ها با کد منبع باز استفاده شده در EPMM مرتبط هستند، نه با کد اصلی ایوانتی.

جزئیات آسیب‌پذیری

• CVE-2025-4427 (شدت متوسط): این یک نقص دور زدن احراز هویت با امتیاز شدت CVSS v3.1 برابر با 5.3 است. یک مهاجم می‌تواند از این برای دور زدن مکانیسم‌های احراز هویت و به دست آوردن دسترسی غیرمجاز به سیستم سوء استفاده کند.
• آسیب‌پذیری اجرای کد از راه دور (شدت بالا): این آسیب‌پذیری دارای امتیاز شدت CVSS v3.1 برابر با 7.2 است که نشان‌دهنده تأثیر بالقوه بالا است. با سوء استفاده از این نقص، یک مهاجم می‌تواند کد دلخواه را از راه دور بر روی سیستم آسیب‌دیده اجرا کند.

محصولات و نسخه‌های تحت تأثیر

نسخه‌های زیر از Ivanti Endpoint Mobile Manager تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. در اسرع وقت به آخرین نسخه‌ها ارتقا دهید:

• Ivanti Endpoint Mobile Manager
  • 11.12.0.4 و نسخه‌های قبلی: به 11.12.0.5 و نسخه‌های بعدی ارتقا دهید
  • 12.3.0.1 و نسخه‌های قبلی: به 12.3.0.2 و نسخه‌های بعدی ارتقا دهید
  • 12.4.0.1 و نسخه‌های قبلی: به 12.4.0.2 و نسخه‌های بعدی ارتقا دهید
  • 12.5.0.0 و نسخه‌های قبلی: به 12.5.0.1 و نسخه‌های بعدی ارتقا دهید

راهکارهای کاهش

ایوانتی اکیداً به کاربران توصیه می‌کند تا در اسرع وقت به آخرین نسخهEPMM ارتقا دهند. با این حال، خطر را می‌توان با فیلتر کردن دسترسی به API با استفاده از ACLهای پورتال داخلی یا یک Web Application Firewall (WAF) خارجی به طور قابل توجهی کاهش داد. این اقدامات می‌توانند به جلوگیری از دسترسی غیرمجاز و سوء استفاده از آسیب‌پذیری‌ها کمک کنند.

در خاتمه، هشدارهای امنیتی اخیر از مایکروسافت، فورتی‌نت و ایوانتی نیاز همیشگی به هوشیاری و اقدامات امنیتی پیشگیرانه را برجسته می‌کنند. سازمان‌ها باید وصله‌کردن و پیاده‌سازی راهکارهای پیشنهادی را برای محافظت از خود در برابر این آسیب‌پذیری‌های مورد سوء استفاده فعال و حملات احتمالی آینده در اولویت قرار دهند. نظارت منظم بر هشدارهای امنیتی و رسیدگی سریع به خطرات شناسایی شده، اجزای اساسی یک وضعیت امنیتی قوی هستند. عواقب بالقوه عدم رسیدگی به این آسیب‌پذیری‌ها می‌تواند شدید باشد، از نقض داده‌ها و ضررهای مالی گرفته تا آسیب‌های اعتباری و اختلال در تجارت. همکاری بین فروشندگان و جامعه امنیتی در شناسایی و کاهش این تهدیدها، تضمین یک محیط دیجیتال امن‌تر و ایمن‌تر برای همه، از اهمیت بالایی برخوردار است. مقابله با تهدیدات ناشی از آسیب‌پذیری‌های «روز صفر» و سایر تهدیدات سایبری نیازمند یک رویکرد چندوجهی است که شامل موارد زیر می‌شود:

1. آگاهی و آموزش: آموزش کارمندان در مورد تهدیدات سایبری، شیوه‌های امنیتی برتر، تشخیص حملات فیشینگ و اهمیت گزارش‌دهی فعالیت‌های مشکوک بسیار مهم است. یک نیروی کار آگاه می‌تواند به عنوان اولین خط دفاعی در برابر حملات سایبری عمل کند.

2. مدیریت Patch: پیاده‌سازی یک فرآیند مدیریت وصله قوی برای اطمینان از اینکه نرم‌افزار و سیستم‌ها به طور مداوم با آخرین وصله‌های امنیتی به‌روزرسانی می‌شوند، ضروری است. این شامل وصله سیستم‌های عامل، برنامه‌ها و دستگاه‌های شبکه است.

3. کنترل Access: پیاده‌سازی کنترل‌های دسترسی قوی، از جمله احراز هویت چند عاملی (MFA)، می‌تواند به جلوگیری از دسترسی غیرمجاز به سیستم‌ها و داده‌های حساس کمک کند. اصل کمترین امتیاز (Principle of Least Privilege) باید اعمال شود و به کاربران فقط دسترسی لازم برای انجام وظایف خود را بدهد.

4. امنیت شبکه: پیاده‌سازی ابزارهای امنیتی شبکه مانند فایروال‌ها، سیستم‌های تشخیص نفوذ/پیشگیری (IDS/IPS) و فیلترهای وب می‌تواند به جلوگیری از دسترسی غیرمجاز و تشخیص و مسدود کردن ترافیک مخرب کمک کند. بخش‌بندی شبکه می‌تواند با محدود کردن حرکت جانبی مهاجمان در صورت به خطر افتادن یک سیستم، به کاهش تأثیر نقض‌ها کمک کند.

5. حفاظت Endpoint: استقرار حفاظت Endpoint، مانند نرم‌افزار آنتی‌ویروس، تشخیص و پاسخ Endpoint (EDR) و تشخیص و پاسخ مدیریت شده (MDR)، می‌تواند به شناسایی و پاسخ به تهدیدات در دستگاه‌های Endpoint کمک کند. این ابزارها باید برای تشخیص و مسدود کردن فعالیت‌های مخرب، مانند باج‌افزار و بدافزار، پیکربندی شوند.

6. برنامه‌ریزی پاسخ به حادثه: ایجاد یک طرح پاسخ به حادثه که مراحل پاسخ به یک حادثه سایبری را مشخص می‌کند، بسیار مهم است. این طرح باید شامل رویه‌های شناسایی، مهار، ریشه‌کنی و بازیابی نقض‌ها باشد. آزمایش و به‌روزرسانی منظم طرح پاسخ به حادثه برای اطمینان از اثربخشی آن ضروری است.

7. نسخه‌پشتیبان‌گیری و بازیابی: پشتیبان‌گیری منظم از داده‌های مهم و آزمایش رویه‌های بازیابی می‌تواند به سازمان‌ها کمک کند تا در صورت حادثه سایبری به سرعت از بین بروند. باید از پشتیبان‌گیری‌ها در برابر دسترسی غیرمجاز محافظت شود و به‌طور ترجیحی به صورت آفلاین ذخیره شوند تا از باج‌افزار و سایر حملات محافظت شوند.

8. ارزیابی آسیب‌پذیری و آزمایش نفوذ: انجام منظم ارزیابی‌های آسیب‌پذیری و آزمایش نفوذ می‌تواند به شناسایی ضعف‌ها در سیستم‌ها و شبکه‌ها کمک کند. این ارزیابی‌ها باید توسط پرسنل واجد شرایط انجام شود و نتایج باید برای اولویت‌بندی و رسیدگی به خطرات استفاده شود.

9. اطلاعات تهدید: اشتراک‌گذاری و مصرف اطلاعات تهدید می‌تواند به سازمان‌ها کمک کند تا در مورد آخرین تهدیدات و تاکتیک‌های مورد استفاده توسط مهاجمان مطلع بمانند. این اطلاعات می‌تواند برای بهبود ابزارهای امنیتی، اولویت‌بندی تلاش‌های وصله‌کردن و بهبود تشخیص حادثه استفاده شود.

10. انطباق و مقررات: سازمان‌ها باید با قوانین و مقررات مربوطه، مانند GDPR، HIPAA و CCPA، که نیازمندی‌های امنیتی داده را مشخص می‌کنند، مطابقت داشته باشند. رعایت این مقررات می‌تواند به سازمان‌ها کمک کند تا روش‌های امنیتی قوی را پیاده‌سازی کنند و مسئولیت خود را در صورت نقض داده نشان دهند.

با اجرای این اقدامات، سازمان‌ها می‌توانند به طور قابل توجهی وضعیت امنیتی خود را بهبود بخشند و خطر قربانی شدن حملات سایبری را کاهش دهند. توجه به این نکته مهم است که هیچ راه حل واحدی برای امنیت سایبری وجود ندارد و سازمان‌ها باید یک رویکرد دفاعی عمیق اتخاذ کنند که از لایه‌های متعدد کنترل‌های امنیتی استفاده می‌کند. پایش و ارزیابی منظم این کنترل‌ها برای اطمینان از اثربخشی آنها ضروری است.

علاوه بر این، سازمان‌ها باید با جامعه امنیتی برای اشتراک اطلاعات و بهترین روش‌ها در ارتباط باشند. مشارکت در انجمن‌های اطلاعاتی و گروه‌های به‌اشتراک‌گذاری می‌تواند بینش ارزشمندی را در مورد تهدیدات نوظهور و تکنیک‌های جدید حمله ارائه دهد. همکاری بین سازمان‌ها و فروشندگان امنیتی برای بهبود وضعیت امنیتی کلی در برابر تهدیدات سایبری بسیار مهم است.

علاوه بر این، توجه به این نکته ضروری است که امنیت سایبری یک فرآیند مداوم است، نه یک رویداد یکباره. با تکامل تهدیدات سایبری، سازمان‌ها باید به طور مستمر اقدامات امنیتی خود را تطبیق و بهبود بخشند. این شامل اقامت در جریان آخرین روندها، سرمایه‌گذاری در فناوری‌های امنیتی جدید و آموزش مستمر کارکنان در مورد شیوه‌های امنیتی برتر است. سازمان‌هایی که امنیت سایبری را در اولویت قرار می‌دهند و خط مشی فعالانه‌ای را در پیش می‌گیرند، برای دفاع از خود در برابر خطرات روزافزون حملات سایبری در یک موقعیت بسیار بهتری قرار خواهند داشت.

علاوه بر این، سازمان‌ها باید از خطرات امنیتی مرتبط با استفاده از خدمات و برنامه‌های third-party آگاه باشند. قبل از استفاده از یک سرویس third-party، سازمان‌ها باید بررسی‌های دقیق را برای ارزیابی شیوه‌های امنیتی خود انجام دهند. این شامل ارزیابی سیاست‌های امنیتی، کنترل‌های انطباق و حفاظت از داده‌ها آنها است. سازمان‌ها همچنین باید اطمینان حاصل کنند که قراردادها با تامین‌کنندگان third-party شامل مقرراتی است که نیازمندی‌های امنیتی را مشخص می‌کند و مسئولیت را در صورت نقض داده‌ها تخصیص می‌دهد.

در خاتمه، هشدارهای امنیتی اخیر منتشر شده از مایکروسافت، فورتی‌نت و ایوانتی به عنوان فراخوانی برای اقدام برای سازمان‌ها برای اولویت‌بندی امنیت سایبری، استقرار فعالانه‌های امنیتی قوی و آگاهی در مورد آخرین