پرش به محتوا

آسیب‌پذیری (رایانه)

از ویکی‌پدیا، دانشنامهٔ آزاد

آسیب‌پذیری[۱] (به انگلیسی: Vulnerability) در امنیت رایانه، یک ضعف است که به حمله‌کننده اجازه می‌دهد ضمانت اطلاعاتی یک سیستم را کاهش دهد. آسیب‌پذیری اشتراک سه عنصر است: یک حساسیت یا نقص سیستم، دسترسی حمله‌کننده به نقص سیستم و قابلیت حمله‌کننده برای استفاده از آن نقص. برای بهره‌برداری از یک آسیب‌پذیری، یک حمله‌کننده بایستی حداقل یک ابزار یا تکنیک کاربردی داشته باشد که بتواند با ضعف سیستم ارتباط برقرار کند. در این بخش، آسیب‌پذیری به عنوان ظاهر حمله نیز شناخته می‌شود.

مدیریت آسیب‌پذیری تکرار چرخشی شناسایی، طبقه‌بندی، درمان وکاهش آسیب‌پذیری‌ها است. به‌طور کلی از این تکرار با عنوان آسیب‌پذیری نرم‌افزاری در سیستم‌های کامپیوتری یاد می‌شود.

یک ریسک امنیتی ممکن است به عنوان یک آسیب‌پذیری در نظر گرفته شود. استفاده از آسیب‌پذیری با معنی همانند ریسک ممکن است به سردرگمی بینجامد. ریسک امکان یک شکست مهم است و آسیب‌پذیری‌های بدون ریسک نیز وجود دارد. یک آسیب‌پذیری با تعداد یک یا بیشتر از نمونه حمله‌های پیاده شده با عنوان یک آسیب‌پذیری قابل بهره‌برداری شناخته می‌شود. پنجره آسیب‌پذیری از زمانی که حفره امنیتی در نرم‌افزار آشکار می‌شود تا زمانی تعریف می‌شود که در آن دسترسی حذف می‌شود، یا یک راه حل امنیتی به دست می‌آید یا حمله‌کننده متوقف می‌شود. حمله روز صفر را ببینید.

خطای امنیتی یک مفهوم محدود است. آسیب‌پذیری‌هایی وجود دارند که به نرم‌افزار مربوط نیستند. مانند آسیب‌پذیری‌های سخت‌افزاری، محلی یا شخصی که مثال‌هایی از آسیب‌پذیری‌هایی هستند که خطای امنیتی نرم‌افزاری نیستند.

ساختمان داده‌های موجود در زبان‌های برنامه‌نویسی که استفاده از آن‌ها به راحتی امکان‌پذیر نیست می‌توانند یک منبع عظیم برای آسیب‌پذیری باشند.

تعریف

[ویرایش]

ISO ۲۷۰۰۵ آسیب‌پذیری را به صورت زیر تعریف می‌کند:

یک ضعف در یک سرمایه یا گروهی از سرمایه‌ها که می‌توانند به‌وسیلهٔ یک یا چند تهدید مورد استثمار قرار گیرند.

یک سرمایه هر چیزی می‌تواند باشد که ارزشی برای سازمان داشته باشد شامل عملیات تجاری و منابع اطلاعاتی که از اهداف سازمان پشتیبانی می‌کند.

IETF RFC 2828 آسیب‌پذیری را به صورت زیر تعریف می‌کند:

نقص یا ضعف در طراحی، پیاده‌سازی، بهره‌برداری و مدیریت یک سیستم می‌توانند برای نقض سیاست امنیتی سیستم مورد سوء استفاده قرار گیرند.

کمیته ملی سیستم‌های امنیتی ایالات متحده آمریکا در آموزش CNSS شماره ۴۰۰۹ مورخ ۲۶ آوریل ۲۰۱۰، واژه‌نامه ملی تضمین اطلاعات آسیب‌پذیری را به صورت زیر تعریف می‌کند:

آسیب‌پذیری - ضعف در، روش‌های امنیتی سیستم، کنترل‌های داخلی، یا پیاده‌سازی است که می‌تواند مورد سوء استفاده قرار گیرد.

بسیاری از انتشارات NIST آسیب‌پذیری را در مسابقه فناوری اطلاعات در نشریات مختلف تعریف می‌کنند. FISMApedia یک لیست ارائه می‌دهد. در بین آن‌ها SP 800-30، یک تعریف بهتر ارائه می‌دهد:

یک نقص یا ضعف در روش‌های طراحی، پیاده‌سازی، یا کنترلهای داخلی امنیت سیستم است که می‌تواند اعمال شده (که به‌طور تصادفی یا عمداً می‌تواند مورد سوء استفاده قرار گیرد) و در نتیجه یک نقض امنیتی یا تخطی از سیاست‌های امنیتی سیستم به‌وجود می‌آید.

ENISA تعریف آسیب‌پذیری را به صورت زیر ارائه می‌دهد:

وجود ضعف یا خطا طراحی یا پیاده‌سازی است که می‌تواند منجر به رویداد غیرمنتظره و نامطلوب شود و باعث به خطر انداختن امنیت سیستم‌های کامپیوتری، شبکه، نرم‌افزار، یا پروتکل درگیر شود.

گروه باز تعریف آسیب‌پذیری به صورت زیر ارائه می‌دهد:

احتمال اینکه توانایی تهدید بیش از توانایی مقاومت در برابر تهدید باشد.

ISACA آسیب‌پذیری در چارچوب خطر ابتلا به این صورت تعریف می‌کند:

ضعف در طراحی، اجرا، بهره‌برداری و کنترل داخلی

امنیت داده‌ها و کامپیوتر: دیکشنری استانداردهای مفاهیم و اصطلاحات، نویسنده Denis Longley و Michael Shain، و روزنامه Stockton، تعریف آسیب‌پذیری را به صورت زیر ارائه داده‌اند:

۱) در امنیت کامپیوتر، ضعف در روش‌های امنیتی سیستم‌های خودکار، کنترل مدیریتی، کنترل اینترنت، و غیره، که می‌تواند یک تهدید برای دسترسی غیرمجاز به اطلاعات باشد یا برای برهم زدن پردازش مورد سوء استفاده قرار گیرد. ۲) در امنیت کامپیوتر، ضعف در طرح فیزیکی، سازمان، روش‌ها، پرسنل، مدیریت، سخت‌افزار یا نرم‌افزار که ممکن است باعث آسیب رساندن به سیستم یا فعالیت ADP شود. ۳) در امنیت کامپیوتر، هر گونه ضعف یا نقص‌های موجود در یک سیستم است. حمله یا رویداد مضر، یا فرصت موجود برای یک عامل تهدید برای سوار شدن به آن حمله است.

پدیده‌شناسی

[ویرایش]

منبع (یا فیزیکی یا منطقی) ممکن است یک یا چند آسیب‌پذیری داشته باشد که می‌تواند توسط یک عامل تهدید در یک اقدام تهدیدگرانه مورد سوء استفاده قرار گیرد. نتیجه به‌طور بالقوه می‌تواند محرمانگی، یکپارچگی و در دسترس بودن منابع (نه لزوماً آسیب‌پذیر) متعلق به یک سازمان یا دیگر طرف‌های درگیر (مشتریان، تأمین کنندگان) را به خطر بیندازد.

اصطلاح CIA سه‌گانه اساس امنیت اطلاعات است.

یک حمله می‌تواند فعال باشد زمانی که برای تغییر منابع سیستم یا تحت تأثیر قرار دادن اعمال آن‌ها تلاش می‌کند، پس در یکپارچگی و در دسترس بودن اختلال ایجاد می‌کند. یک «حمله انفعالی» تلاش می‌کند تا اطلاعات سیستم را استفاده کرده یا یاد بگیرد ولی در منابع سیستم تأثیر نگذارد، پس محرمانگی را به خطر انداخته‌است.

طبقه‌بندی

[ویرایش]

آسیب‌پذیری‌ها با توجه به کلاس دارایی آن‌ها طبقه‌بندی می‌شوند:

۱- سخت‌افزار

  • حساسیت به رطوبت
  • حساسیت به گرد و غبار
  • حساسیت به لکه دار کردن
  • حساسیت به ذخیره‌سازی محافظت نشده

۲- نرم‌افزار

  • تست ناکافی
  • عدم دنباله ممیزی

۳- شبکه

  • خطوط ارتباطی بدون محافظت
  • معماری شبکه‌های نا امن

۴- پرسنل

  • فرایند استخدام ناکافی
  • آگاهی‌های امنیتی ناکافی

۵- محل

  • منطقه به سیل
  • منبع قدرت غیرقابل اعتماد

۶- سازمان

  • عدم ممیزی‌های منظم
  • فقدان برنامه‌های تداوم
  • عدم امنیت

علل

[ویرایش]
  • پیچیدگی: سیستم‌های پیچیده و بزرگ، احتمال نقص‌ها و نقاط دسترسی ناخواسته را افزایش می‌دهد.
  • آشنایی: با استفاده از کد، نرم‌افزار، سیستم عامل، و/یا سخت‌افزار مشترک و معمول احتمال اینکه حمله‌کننده بتواند به دانش و ابزارها برای سوء استفاده از عیب‌ها پی ببرد را افزایش می‌دهد.
  • اتصال: هر چه اتصالات فیزیکی، اولویت‌ها، پورت‌ها، پروتکل‌ها، و خدمات و زمان بیشتر در دسترس باشند، آسیب‌پذیری افزایش می‌یابد.
  • معایب مدیریت رمز: کاربران کامپیوتر از کلمات عبور ضعیف استفاده می‌کنند که می‌توانند با کمترین زحمت کشف شوند. کاربران کامپیوتر رمز عبور خود را بر روی کامپیوتر ذخیره می‌کنند و هر برنامه‌ای می‌تواند به آن دسترسی داشته باشد. کاربران از رمزهای عبور برای چندین برنامه و وب سایت استفاده مجدد می‌کنند.
  • معایب اساسی طراحی سیستم عامل: طراح سیستم عامل سیاست‌های کمتر از حد مطلوب کاربر را برای مدیریت برنامه/کاربران استفاده می‌کند. به عنوان مثال سیستم عامل‌ها با سیاست‌هایی مانند مجوز پیش‌فرض به هر برنامه و هر کاربر اجازه دسترسی کامل به کل کامپیوتر را می‌دهد. این نقص سیستم عامل به ویروس‌ها و نرم‌افزارهای مخرب اجازه می‌دهد تا دستورها را از طرف مدیریت اجرا نمایند.
  • مرورگر وب سایت اینترنتی: برخی از وب سایت‌های اینترنتی ممکن است حاوی Spyware مضر یا adware باشد که می‌تواند به‌طور خودکار بر روی سیستم‌های کامپیوتری نصب شوند. پس از بازدید از این وب سایت‌ها، سیستم‌های کامپیوتری آلوده شده و اطلاعات شخصی جمع‌آوری شده و به شخص ثالثی می‌رسد.
  • اشکال‌های نرم‌افزار: برنامه‌نویس در برنامه نرم‌افزار یک اشکال باقی می‌گذارد. اشکال نرم‌افزار می‌تواند این امکان را به یک نفوذگر بدهد که از برنامه سوء استفاده کند.
  • ورودی بدون کنترل کاربر: در برنامه فرض بر این است که تمام ورودی کاربر امن است. برنامه‌هایی که ورودی کاربر را بررسی نمی‌کنند می‌توانند منجر به اجرای ناخواسته مستقیم دستورها و عبارت‌های SQL (شناخته شده به عنوان overflows بافر، تزریق SQL یا ورودی غیر معتبر) شوند.
  • عدم یادگیری از اشتباه‌های گذشته: به عنوان مثال بسیاری از آسیب‌پذیری‌های کشف شده در پروتکل IPv4 در پیاده‌سازی‌های جدید IPv6 نیز کشف شده‌است.

تحقیقات نشان داده‌است که آسیب پذیرترین نقطه در بسیاری از سیستم‌های اطلاعاتی کاربران انسان، اپراتور، طراح، یا انسان‌های دیگر هستند. پس انسان‌ها باید در نقش‌های مختلف خود به عنوان دارایی، تهدید و منابع اطلاعاتی در نظر گرفته شوند.

نتایج

[ویرایش]

تأثیر رخنه‌های امنیتی می‌تواند بسیار بالا باشد. این واقعیت که مدیران فناوری اطلاعات، یا مدیریت‌های بالا، می‌دانند که سیستم‌های فناوری اطلاعات و برنامه‌های کاربردی آسیب‌پذیری‌هایی دارند و هیچ گونه اقدامی برای مدیریت خطر انجام نمی‌دهند، به عنوان یک سوء رفتار در بسیاری از قوانین دیده می‌شود. قانون حفظ اسرار مدیران را مجبور می‌کند به گونه‌ای عمل کنند که تأثیر یا احتمال ریسک‌های امنیتی را کاهش دهد. امنیت حسابرسی فناوری اطلاعات راهی است برای اجازه به افراد مستقل دیگر تا تأیید کنند که محیط فناوری اطلاعات به درستی مدیریت شده و مسئولیت‌ها کاهش یابد و حداقل داشتن حسن نیت را نشان است. تست نفوذ، یک شکل تأیید ضعف و مقابله قابل قبول برای سازمان است. یک هکر کلاه سفید برای حمله به دارایی‌های فناوری اطلاعات سازمان و اینکه میزان سختی امنیت فناوری اطلاعات را بیابد تلاش می‌کند. راه مناسب برای مدیریت حرفه‌ای خطرات فناوری اطلاعات، اتخاذ یک سیستم مدیریت امنیت اطلاعات است.

آسیب‌پذیری‌های با بیشترین سوءاستفاده

[ویرایش]

در اردیبهشت ۱۴۰۱، آژانس‌های امنیت سایبری آمریکا، استرالیا، کانادا، نیوزلند و انگلستان در توصیه‌نامه‌ای مشترک، فهرستی از آسیب‌پذیری‌های با بیشترین سوءاستفاده در سال ۲۰۲۱ را منتشر کردند.[۲] نمونه کدهای بهره‌جو موسوم به اثبات مفهوم اکثر این آسیب‌پذیری‌ها، تنها طی دو هفته از زمان کشف آنها، در دارک وب و حتی در مواردی به‌صورت عمومی بر روی اینترنت در دسترس قرار گرفته بود.[۲] بنابراین، به‌کارگیری آنها توسط هکرها و گردانندگان تهدیدات APT به‌سادگی قابل پیش‌بینی بود.[۲] اما تأخیر و بی‌توجهی برخی سازمان‌ها در اعمال سریع به‌روزرسانی‌ها و اصلاحیه‌های مربوط کار را برای مهاجمان سایبری در رخنه به شبکه آنها از طریق اکسپلویت آسیب‌پذیری بسیار تسهیل کرد.[۲] کمااین‌که در فهرست آسیب‌پذیری‌های با بیشترین سوءاستفاده در سال ۲۰۲۱، برخی آسیب‌پذیری‌های کشف‌شده در سال‌های قبل از آن نیز به چشم می‌خورد.[۲] بر طبق توصیه‌نامه مذکور، فهرست آسیب‌پذیری‌های با بیشترین سوءاستفاده در سال ۲۰۲۱ به شرح زیر بوده است.[۲][۳]

شناسه محصول نوع
CVE-2021-44228 Apache Log4j Remote Code Execution
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus Remote Code Execution
CVE-2021-34523 Microsoft Exchange Server Elevation of Privilege
CVE-2021-34473 Microsoft Exchange Server Remote Code Execution
CVE-2021-31207 Microsoft Exchange Server Security Feature Bypass
CVE-2021-27065 Microsoft Exchange Server Remote Code Execution
CVE-2021-26858 Microsoft Exchange Server Remote Code Execution
CVE-2021-26857 Microsoft Exchange Server Remote Code Execution
CVE-2021-26855 Microsoft Exchange Server Remote Code Execution
CVE-2021-26084 Atlassian Confluence Server and Data Center Arbitrary Code Execution
CVE-2021-21972 VMware vSphere Client Remote Code Execution
CVE-2020-1472 Microsoft Netlogon Remote Protocol (MS-NRPC) Elevation of Privilege
CVE-2020-0688 Microsoft Exchange Server Remote Code Execution
CVE-2019-11510 Pulse Connect Secure Arbitrary File Reading
CVE-2018-13379 Fortinet FortiOS and FortiProxy Path Traversal

جستارهای وابسته

[ویرایش]

منابع

[ویرایش]
  1. «آسیب‌پذیری» [مهندسی مخابرات] هم‌ارزِ «vulnerability»؛ منبع: گروه واژه‌گزینی. جواد میرشکاری، ویراستار. دفتر پنجم. فرهنگ واژه‌های مصوب فرهنگستان. تهران: انتشارات فرهنگستان زبان و ادب فارسی. شابک ۹۷۸-۹۶۴-۷۵۳۱-۷۶-۴ (ذیل سرواژهٔ آسیب‌پذیری)
  2. ۲٫۰ ۲٫۱ ۲٫۲ ۲٫۳ ۲٫۴ ۲٫۵ «آسیب‌پذیری‌های با بیشترین سوءاستفاده». رامونا پردازش نگار. ۲۰۲۲-۰۴-۲۸. دریافت‌شده در ۲۰۲۲-۰۵-۱۴.
  3. «2021 Top Routinely Exploited Vulnerabilities | CISA». www.cisa.gov. دریافت‌شده در ۲۰۲۲-۰۵-۱۴.