بولتن F5: چند تهدید بحرانی فعال در فوریه ۲۰۲۶

بولتن F5: چند تهدید بحرانی فعال در فوریه ۲۰۲۶
بولتن ۱۸ فوریه ۲۰۲۶ از افزایش بهره‌برداری فعال از نقص‌های بحرانی در Microsoft SCCM،Notepad++ و یک پلاگین پرکاربرد WordPress خبر می‌دهد.

در بولتن هفتگی تهدیدات (۱۸ فوریه ۲۰۲۶) مجموعه‌ای از ریسک‌های «بحرانی» معرفی شده که شامل بهره‌برداری فعال از CVE-2024-43468 در Microsoft Configuration Manager (SCCM/ConfigMgr) و الزام اصلاح سریع برای سازمان‌های فدرال آمریکا، یک نقص جدی زنجیره به‌روزرسانی در Notepad++ (CVE-2025-15556)، آسیب‌پذیری اجرای کد از راه دور در WPvivid Backup & Migration برای WordPress (CVE-2026-1357)، کمپین جذب جعلی توسعه‌دهندگان با عنوان graphalgo و همچنین هزاران پنل کنترلی در معرض اینترنت برای عامل‌های هوش مصنوعی OpenClaw است. این گزارش بر وصله فوری، اسکن دارایی‌ها، سخت‌گیری در سیاست Patch Management، محدودسازی دسترسی مدیریتی و کنترل خروجی شبکه تأکید دارد.

بولتن هفتگی تهدیدات منتشرشده در ۱۸ فوریه ۲۰۲۶ به قلم Brian Sayer، مجموعه‌ای از تهدیدات کلیدی با شدت «بحرانی» را مطرح کرده که طیف متنوعی از بردارهای حمله—از نقص‌های لایه مدیریت سازمانی و نرم‌افزارهای کلاینت تا زنجیره تأمین نرم‌افزار و پنل‌های کنترلی متصل به اینترنت—را پوشش می‌دهد. محور مشترک این بولتن، «بهره‌برداری فعال» و اهمیت اولویت‌دهی به اصلاح سریع (Remediation) در مدیریت آسیب‌پذیری‌هاست.

۱) بهره‌برداری فعال از نقص Microsoft SCCM/ConfigMgr (CVE-2024-43468)

به‌گزارش بولتن، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نقص CVE-2024-43468 را به‌عنوان آسیب‌پذیری در حال بهره‌برداری در حملات علامت‌گذاری کرده و از سازمان‌های فدرال خواسته است سامانه‌های خود را در برابر این ریسک ایمن کنند. این نقص از نوع SQL Injection در Microsoft Configuration Manager است؛ طبق شرح‌های فنی، مهاجم می‌تواند بدون احراز هویت به اجرای کد با بالاترین سطح دسترسی روی سرور یا پایگاه داده زیرین دست پیدا کند. وصله این آسیب‌پذیری در اکتبر ۲۰۲۴ ارائه شده و پس از انتشار PoC در نوامبر ۲۰۲۴، وضعیت بهره‌برداری عملیاتی جدی‌تر شده است.

در توصیه‌های کاهشی مطرح‌شده، بر اعمال فوری به‌روزرسانی‌های امنیتی برای تمام نمونه‌های ConfigMgr، اجرای اسکن احراز هویت‌شده برای کشف و تأیید وصله بودن، و ممیزی پایگاه داده SQL سایت (از جمله بررسی حساب‌های sysadmin غیرمجاز و پایش رفتارهای مشکوک مانند اجرای xp_cmdshell) تأکید شده است. از منظر کنترل‌های سازمانی نیز پیشنهاد می‌شود دسترسی به سرورهای مدیریتی ConfigMgr و دیتابیس آن‌ها تنها از طریق ایستگاه‌های مدیریتی محدود و شبکه مدیریتی جدا (Management VLAN) برقرار شود و سیاست Patch Management برای «بحرانی» و «Exploited» کوتاه‌تر گردد.

۲) نقص بحرانی در مکانیزم به‌روزرسانی Notepad++ (CVE-2025-15556)

بخش دیگری از بولتن به آسیب‌پذیری CVE-2025-15556 در Notepad++ (نسخه‌های پیش از ۸.۸.۹) می‌پردازد. ماهیت این نقص به ضعف در بررسی یکپارچگی و اصالت به‌روزرسانی‌ها (Download of Code Without Integrity Check) مرتبط است؛ در سناریوی حمله، مهاجم با رهگیری یا تغییر مسیر ترافیک به‌روزرسانی می‌تواند نصب‌کننده‌ای تحت کنترل خود را به کاربر تحمیل کند و به اجرای کد با سطح دسترسی کاربر برسد. گزارش‌های مرجع، شرح آسیب‌پذیری را در چارچوب نقص در اعتبارسنجی رمزنگاری‌شده متادیتا و نصب‌کننده به‌روزرسانی بیان می‌کنند.

در راهکارهای عملیاتی مطرح‌شده، به‌روزرسانی به نسخه ۸.۸.۹ یا جدیدتر توصیه شده و به‌عنوان کنترل موقت، مسدودسازی ارتباط خروجی فرآیند gup.exe و/یا دامنه notepad-plus-plus.org در لایه EDR، فایروال میزبان یا کنترل DNS مطرح شده است. همچنین پایش رخدادهای پیشین اتصال شبکه از gup.exe و سخت‌گیری در سیاست Allowlisting و محدودسازی حقوق ادمین محلی برای کاربران از جمله اقدامات کنترلی مکمل معرفی شده‌اند.

۳) آسیب‌پذیری بحرانی WPvivid Backup & Migration در WordPress (CVE-2026-1357)

بولتن هفتگی همچنین به یک نقص اجرای کد از راه دور در پلاگین WPvivid Backup & Migration برای WordPress اشاره می‌کند که با CVE-2026-1357 ردیابی شده است. بر اساس داده‌های مرجع، این آسیب‌پذیری امکان «Unauthenticated Arbitrary File Upload» را در نسخه‌های تا ۰.۹.۱۲۳ فراهم می‌کند و در صورت تحقق شرایط، می‌تواند به آپلود فایل مخرب (از جمله PHP) و تصاحب کامل وب‌سایت منتهی شود. توصیف فنی NVD، علت را ترکیبی از مدیریت نادرست خطا در فرایند RSA decryption و نبود Sanitization مسیر هنگام نوشتن فایل آپلودشده مطرح می‌کند. وصله در نسخه ۰.۹.۱۲۴ ارائه شده است.

در توصیه‌های کاهشی، شناسایی تمام سایت‌هایی که از این پلاگین استفاده می‌کنند و به‌روزرسانی فوری به نسخه ۰.۹.۱۲۴ یا جدیدتر، غیرفعال‌سازی گزینه «receive backup from another site» در صورت عدم نیاز، و اسکن فایل‌سیستم برای فایل‌های PHP تازه‌ایجادشده یا تغییر یافته در مسیرهای WordPress پیشنهاد می‌شود. همزمان، استفاده از WAF برای تشخیص/مسدودسازی تلاش‌های Directory Traversal و آپلود فایل‌های اجرایی، و فعال‌سازی File Integrity Monitoring روی سرورهای وب به‌عنوان لایه دفاعی مکمل توصیه شده است.

۴) کمپین جذب جعلی توسعه‌دهندگان با عنوان graphalgo و سوءاستفاده از npm و PyPI

یکی از محورهای مهم بولتن، کمپین «graphalgo» است که با روایت استخدام و پروژه‌های توسعه‌ای جعلی، توسعه‌دهندگان JavaScript و Python را هدف می‌گیرد و از طریق بسته‌های آلوده در npm و PyPI بدافزار/RAT توزیع می‌کند. در این سناریو، مهاجمان با بسته‌هایی که نام‌هایی شبیه کتابخانه‌های واقعی دارند، مرحله‌ای از کد مخرب را اجرا و سپس payload نهایی را از زیرساخت کنترل و فرمان دریافت می‌کنند. توصیه‌های عملیاتی روی مسدودسازی URL مشخص raw.githubusercontent.com/.../.env.example در فایروال/پراکسی، جست‌وجوی فایل‌های persistence مانند startup.js در مسیرهای شناخته‌شده روی Windows/Linux/macOS، و ممیزی وابستگی‌های پروژه (package.json و requirements.txt) برای حذف بسته‌های مشکوک تمرکز دارد.

در سطح سیاست‌گذاری امنیتی، پیشنهاد می‌شود سازمان‌ها برای تیم‌های توسعه، کنترل امنیت زنجیره تأمین نرم‌افزار را تقویت کنند: استفاده از ابزارهای اسکن بسته‌های متن‌باز پیش از ورود به چرخه توسعه، تعریف مخزن داخلی Artifact به‌جای مصرف مستقیم از مخازن عمومی، آموزش آگاهی امنیتی توسعه‌دهندگان در برابر مهندسی اجتماعی در پلتفرم‌های حرفه‌ای، و تنظیم قواعد EDR برای تشخیص اجرای اسکریپت‌ها از مسیرهای غیرعادی یا ارتباطات خروجی مشکوک.

۵) ریسک عامل‌های هوش مصنوعی OpenClaw

بخش دیگری از بولتن، به ریسک ناشی از استقرار سریع و بدون نظارت عامل‌های هوش مصنوعی مانند OpenClaw (با نام‌های پیشین Moltbot/Clawdbot) اشاره می‌کند و از وجود ده‌ها هزار پنل کنترلی در معرض اینترنت در ده‌ها کشور می‌گوید. در این تحلیل، مشکل اصلی «شکاف دیدپذیری» و قرار گرفتن عامل‌های غیرانسانی با سطح دسترسی بالا خارج از مدل‌های سنتی IAM و پایش سازمانی توصیف می‌شود؛ به‌ویژه زمانی که این عامل‌ها با دسترسی گسترده به ایمیل، حساب‌های ابری، چت سازمانی و نشست‌های مرورگر فعالیت می‌کنند و در لاگ‌ها شبیه رفتار مشروع دیده می‌شوند. توصیه‌های کاهشی بر اسکن بیرونی برای نشانه‌هایی مانند پورت ۱۸۷۸۹، به‌روزرسانی به نسخه‌های ایمن، بایند کردن Gateway به 127.0.0.1، اعمال احراز هویت قوی، چرخش فوری تمام Credentialهای در دسترس عامل (API keys/OAuth/SSH/Cloud credentials) و پاکسازی فایل‌های پشتیبان Credential تمرکز دارد.

در سطح معماری امنیت، پیشنهاد می‌شود عامل‌های هوش مصنوعی به‌عنوان «هویت‌های ممتاز غیرانسانی» طبقه‌بندی شوند؛ موجودی‌برداری، پایش، محدودسازی دسترسی (Least Privilege)، تفکیک شبکه‌ای و ثبت جزئیات اقدامات عامل‌ها در SIEM برای ساخت قاعده‌های تشخیص مبتنی بر رفتار عامل، بخشی از اقدامات پیشنهادی برای کاهش ریسک «تکثیر دسترسی» در صورت نفوذ به عامل‌هاست.

جمع‌بندی عملیاتی بولتن

بولتن ۱۸ فوریه ۲۰۲۶ یک پیام محوری دارد: «بهره‌برداری فعال» باید شاخص اولویت در Patch Management و مدیریت آسیب‌پذیری باشد—به‌خصوص برای سامانه‌های مدیریتی (Management Plane) مانند ConfigMgr، ابزارهای پرکاربرد کلاینت مانند Notepad++ و سامانه‌های وب مبتنی بر WordPress که در معرض اینترنت هستند. در این چارچوب، اقدامات کلیدی شامل موجودی دقیق دارایی‌ها، اسکن احراز هویت‌شده، وصله فوری موارد بحرانی، محدودسازی دسترسی مدیریتی، کنترل خروجی شبکه، و تقویت امنیت زنجیره تأمین نرم‌افزار برای تیم‌های توسعه است.

2 اسفند 1404

1بازدید