بذار خلاصه و راحت بهت بگم چی شده: یه آسیبپذیری خیلی خطرناک توی سرورهای شیرپوینت مایکروسافت (SharePoint یعنی همون پلتفرمی که خیلی شرکتها واسه مدیریت و به اشتراکگذاری فایلها و پروژههاشون استفاده میکنن) تبدیل شده به یه بحران بزرگ امنیت سایبری! قبلاً فقط بحث جاسوسی بود، ولی حالا هکرها هدشون رو گذاشتن رو اخاذی.
اصل داستان چی بود؟ خب، دوتا باگ خیلی خفن وجود داره به اسم CVE-2025-53770 که بهش ToolShell هم میگن (یعنی اسم مستعاری که براش انتخاب کردن) و یکی هم نسخه مُشتقش به اسم CVE-2025-53771. این باگها باعث میشن که هکرها بدون اینکه اصلاً تو سرور لاگین کنن، از راه دور کد دلخواهشون رو اجرا کنن؛ یعنی کلاً کنترل سرور بیدفاع رو بگیرن دستشون!
حالا این حملات یه گروه هکری به اسم Storm-2603 داره انجام میده (این اسما معمولاً رمزگونهان؛ خود مایکروسافت این اسم رو گذاشته). موضوع وقتی جدیتر شد که دیدن این هکرها دیگه فقط دنبال اطلاعات نیستن، بلکه دارن باجافزار (ransomware یعنی برنامهای که اطلاعاتت رو قفل میکنه و برای بازکردنش پول میخوان) هم پخش میکنن! مثلاً همین Warlock که تو حملات جدید داره استفاده میشه، رایگان ریختن توی سرورهای قربانی و یهو میبینی همه چیت قفل شده و باید پول (معمولاً رمزارز) بدی تا دوباره بتونی از دادههات استفاده کنی.
این آسیبپذیریها اینقدر خطرناک هستن که سایت Bitsight بهش نمره ۱۰/۱۰ داده توی سیستم Dynamic Vulnerability Exploit یا همون DVE (یعنی یه متر و ملاک برای اینکه یه باگ امنیتی چقدر خطرناک و فوری هست). خلاصه که اوضاع خیلی بحرانیه و اصلاً نباید پشت گوش بندازی.
کلید مشکل چی بود؟ متأسفانه خیلی شرکتها و سازمانها آپدیتهای امنیتی رو دیر نصب میکنن. و خب این باگها برای همین سرورهایی بودن که هنوز پچ (یعنی همون بهروزرسانی اصلاحی) روشون نصب نشده بود.
آمار حملهها هم شدیداً بالا رفته. شرکت Eye Security که اولین بار ماجرا رو گزارش داد، گفته تعداد قربانیها از ۱۰۰ تا فقط تو آخر هفته رفته بالای ۴۰۰ نفر (سازمان!) و احتمالاً این عدد خیلی بالاتر هم هست. میدونی چرا؟ چون همهی ردپاهای این حملات رو نمیتونن تشخیص بدن؛ هکرها انقدر زیرک بودن که همه جا نشونه نذاشتن.
ادارات دولتی آمریکا هم بینصیب نموندن: سازمانهایی مثل NIH (یعنی مؤسسه ملی سلامت) و حتی وزارت امنیت داخلی (DHS) هم تحت تأثیر قرار گرفتن. بخاطر اهمیت این موضوع، تیم CISA (یعنی بازوی دفاع سایبری وزارت امنیت داخلی آمریکا) این باگ رو جدی گرفته و گذاشته توی لیست آسیبپذیریهای شناختهشده. این یعنی هر موقع پچ منتشر شد همه فوراً باید نصب کنن.
یه نکته دیگه اینه که فقط با ترکیب چندتا آسیبپذیری – جدید و قدیمی مثل CVE-2025-49704 – هکرها تونستن احراز هویت دو مرحلهای (multi-factor authentication) رو دور بزنن، کلیدهای ماشین (Machine Key یعنی کلیدهایی که سرور برای رمزگذاری و اعتبارسنجی استفاده میکنه) رو بدزدن و دسترسی دائمی به شبکه قربانی پیدا کنن. عملاً مثل اینه که یارو کلید خونه رو برداشته و هر وقت خواست میاد تو!
در حال حاضر تخمین میزنن دست کم ۷۵ تا ۸۵ سرور در دنیا تا حالا هک شده و این وسط سرویسهایی مثل دولت، مالی، بهداشتی، آموزشی، مخابرات و انرژی هم لتوپار شدن. برآورد میگن تا ۹۰۰۰ سرویس در کل جهان همچنان در خطر جدی هستن اگه پچ امنیتی رو نصب نکنن.
یه خبر خوب: اونایی که از SharePoint Online توی Microsoft 365 (نسخه ابری) استفاده میکنن، فعلاً در خطر نیستن – کل مشکل برای سرورهایی هست که خودشون روی تاسیسات سازمان نصب شدن (on premises).
مایکروسافت گفته باید فوراً سرور SharePoint رو آپدیت کنید:
- برای مشتریای Subscription Edition نسخه KB5002768
- برای نسخه 2019، پچ KB5002754
- و برای 2016 پچ KB5002760
نکات بیشتر از سمت مایکروسافت: حتماً بعد پچ کردن MachineKey رو عوض کنین (یعنی کلید رمزنگاری جدید بسازین) و AMSI یا همون Antimalware Scan Interface رو برای Defender Antivirus روشن کنین (AMSI یعنی یه لایه امنیتی برای شناسایی کدهای مخرب قبل از اجراشون).
اگه میخواین مطمئن بشین هک نشدین یا ردپایی از خرابکاری نیست، دنبال فایلهایی مثل spinstall0.aspx باشین (این فایلها همون web shell هستن؛ یعنی کدهایی که هکر روش میذاره تا از راه دور سرور رو کنترل کنه) و لاگ های شبکه رو برای رفتارای مشکوک زیر نظر بگیرین.
یه توصیه جدی دیگه اینکه: اگه میتونین، حتماً برید سراغ ZTNA و VPN سازمانی (ZTNA یا Zero Trust Network Access یعنی یه مدل جدید امنیت شبکه که به هیچ کاربری هیچ اعتمادی جزئی هم نمیکنه و هر ارتباط باید اعتبارسنجی بشه، برعکس مدل قدیمی که همه تو شبکه داخلی رو “خودی” حساب میکرد)، این باعث میشه دسترسی به سرورای حیاتی فقط رو افراد خیلی محدود و بررسیشده باز باشه. ولی! حواستون باشه که اینا فقط وقتی جواب میده که آنتیویروس قوی و پچهای امنیتی رو هم جدی بگیرین.
کلاً اگه سازمان یا شرکتی دارین که از SharePoint سنتی استفاده میکنه، الان وقت عمل کردنه نه صبر! حملهها حرفهای، رو به افزایش و بدون رحمی هستن؛ یه دقیقه تعلل مساویه با خوابیدن کل سیستمهاتون زیر سایه Warlock و باجگیری.
پس: آپدیت کن، کلیدها رو عوض کن، شبکه رو محدود کن، و مراقب فایلهای مشکوک باش – همین الان!
منبع: +
