افزوده شدن ۴ آسیب‌پذیری جدید به فهرست KEV

افزوده شدن ۴ آسیب‌پذیری جدید به فهرست KEV
CISA چهار آسیب‌پذیری با بهره‌برداری فعال را به KEV افزود و بر الزام اصلاح فوری آن‌ها در شبکه‌های فدرال تأکید کرد.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا چهار آسیب‌پذیری شامل نقص اجرای کد در Microsoft Windows، SSRF در Zimbra، بارگذاری فایل خطرناک در ThreatSonar و Use-After-Free در Google Chromium را به فهرست Known Exploited Vulnerabilities افزود. این فهرست ذیل BOD 22-01 برای کاهش ریسک تهدیدات فعال در شبکه‌های FCEB ایجاد شده و دستگاه‌ها ملزم به اصلاح به‌موقع هستند. CISA از همه سازمان‌ها خواست اولویت اصلاح KEV را در مدیریت آسیب‌پذیری خود لحاظ کنند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، Cybersecurity and Infrastructure Security Agency (CISA)، اعلام کرد چهار آسیب‌پذیری جدید با شواهد بهره‌برداری فعال را به فهرست Known Exploited Vulnerabilities Catalog (KEV) افزوده است. این اقدام در چارچوب اجرای Binding Operational Directive 22-01 با هدف کاهش ریسک معنادار آسیب‌پذیری‌های شناخته‌شده در شبکه‌های فدرال انجام شده است.

فهرست KEV یک «فهرست زنده» از شناسه‌های Common Vulnerabilities and Exposures (CVE) است که بر اساس معیارهای مشخص، به دلیل بهره‌برداری اثبات‌شده در محیط واقعی، برای زیرساخت‌های دولتی ایالات متحده ریسک بالا تلقی می‌شوند. بر اساس BOD 22-01، کلیه نهادهای شاخه اجرایی غیرنظامی فدرال (FCEB) موظف‌اند آسیب‌پذیری‌های درج‌شده را تا مهلت تعیین‌شده اصلاح یا کاهش ریسک دهند.

فهرست آسیب‌پذیری‌های افزوده‌شده به KEV

CISA چهار شناسه CVE زیر را به KEV اضافه کرده است:

۱. CVE-2008-0015

نقص اجرای کد از راه دور در مؤلفه Video ActiveX Control سیستم‌عامل Microsoft Windows. این آسیب‌پذیری به مهاجم اجازه می‌دهد از طریق محتوای مخرب، کد دلخواه را با سطح دسترسی کاربر اجرا کند. با توجه به ماهیت ActiveX و تعامل آن با مرورگرهای قدیمی، این بردار حمله در سامانه‌های به‌روزرسانی‌نشده همچنان می‌تواند خطرناک باشد.

۲. CVE-2020-7796

آسیب‌پذیری Server-Side Request Forgery در Synacor Zimbra Collaboration Suite (ZCS). این نقص امکان ارسال درخواست‌های غیرمجاز از سمت سرور را فراهم می‌کند و می‌تواند به افشای اطلاعات داخلی، دسترسی به سرویس‌های پشت فایروال یا زنجیره‌سازی با سایر آسیب‌پذیری‌ها منجر شود. محیط‌های ایمیل سازمانی به‌دلیل قرارگیری در لبه شبکه، هدف جذابی برای مهاجمان هستند.

۳. CVE-2024-7694

آسیب‌پذیری Unrestricted Upload of File with Dangerous Type در محصول ThreatSonar Anti-Ransomware از شرکت TeamT5. این نقص به بارگذاری فایل با نوع خطرناک بدون اعتبارسنجی مناسب اجازه می‌دهد و در صورت بهره‌برداری می‌تواند به اجرای کد یا استقرار بدافزار در محیط دفاعی منجر شود. وجود چنین ضعف‌هایی در ابزارهای امنیتی، ریسک مضاعف برای سازمان‌ها ایجاد می‌کند.

۴. CVE-2026-2441

آسیب‌پذیری CSS Use-After-Free در مرورگر Google Chromium. نقص‌های Use-After-Free معمولاً به خرابی حافظه و در سناریوهای خاص به اجرای کد دلخواه منتهی می‌شوند. با توجه به گستردگی استفاده از موتور Chromium در مرورگرها و برنامه‌های مبتنی بر WebView، دامنه تأثیر بالقوه این نقص قابل توجه است.

اهمیت راهبردی KEV در مدیریت آسیب‌پذیری

KEV صرفاً یک پایگاه داده اطلاع‌رسانی نیست، بلکه ابزاری سیاست‌محور برای اولویت‌بندی اصلاح آسیب‌پذیری‌ها در سطح حاکمیتی است. بسیاری از سازمان‌ها با انبوهی از CVEهای منتشرشده مواجه‌اند، اما همه آن‌ها به‌طور فعال مورد بهره‌برداری قرار نمی‌گیرند. KEV تمرکز را بر آسیب‌پذیری‌هایی می‌گذارد که مهاجمان بالفعل از آن‌ها استفاده کرده‌اند.

در چارچوب BOD 22-01، دستگاه‌های FCEB باید:

  • موجودی دارایی‌های فناوری اطلاعات خود را به‌روز نگه دارند،
  • آسیب‌پذیری‌های KEV را شناسایی کنند،
  • در بازه زمانی تعیین‌شده وصله امنیتی را اعمال یا راهکار کاهشی ارائه دهند،
  • و گزارش انطباق را ثبت کنند.

این رویکرد مبتنی بر ریسک، فاصله میان کشف آسیب‌پذیری و اصلاح آن را کاهش می‌دهد و سطح حمله (Attack Surface) شبکه‌های فدرال را محدود می‌سازد.

توصیه به بخش خصوصی و سازمان‌ها

اگرچه BOD 22-01 به‌طور مستقیم تنها بر نهادهای FCEB الزام‌آور است، CISA تأکید کرده است که همه سازمان‌ها—اعم از دولتی محلی، بخش خصوصی و اپراتورهای زیرساخت حیاتی—باید KEV را در فرآیند مدیریت آسیب‌پذیری خود لحاظ کنند.

اولویت‌بندی اصلاح بر اساس KEV می‌تواند:

  • زمان واکنش به تهدیدات فعال را کاهش دهد،
  • احتمال نفوذ موفق را کم کند،
  • و هزینه‌های پاسخ‌گویی به رخداد را به‌طور معنادار پایین آورد.

در عمل، این به معنای همگام‌سازی تیم‌های Security Operations، مدیریت وصله (Patch Management)، و حاکمیت فناوری اطلاعات است تا آسیب‌پذیری‌های درج‌شده در KEV در سریع‌ترین زمان ممکن اصلاح شوند.

الگوی تکرارشونده تهدیدات

تحلیل چهار CVE افزوده‌شده نشان می‌دهد که بردارهای حمله کلاسیک همچنان فعال هستند:

  • اجرای کد از راه دور،
  • جعل درخواست سمت سرور،
  • بارگذاری فایل مخرب،
  • و نقص‌های مدیریت حافظه در مرورگرها.

این تنوع بیانگر آن است که مهاجمان محدود به یک تکنیک خاص نیستند و طیف وسیعی از لایه‌های فناوری—from endpoint تا application server و browser engine—را هدف می‌گیرند.

چرخه تهدیدات سایبری

افزودن چهار آسیب‌پذیری جدید به KEV نشان می‌دهد چرخه تهدیدات سایبری پویا و مستمر است. CISA اعلام کرده است به‌صورت مستمر، هر آسیب‌پذیری که معیارهای بهره‌برداری فعال و ریسک بالا را داشته باشد، به این فهرست افزوده خواهد شد.

برای سازمان‌ها، پیام روشن است: اتکا به ارزیابی شدت تئوریک کافی نیست؛ بهره‌برداری فعال مهم‌ترین شاخص اولویت است. یک برنامه مدیریت آسیب‌پذیری مبتنی بر KEV، به‌ویژه در زیرساخت‌های حساس، اکنون نه یک انتخاب بلکه یک الزام عملیاتی محسوب می‌شود.

2 اسفند 1404

بازدید