بهرهبرداری از آسیبپذیریهای روز صفر یکی از مهمترین تهدیدات سایبری است که از ضعفهای ناشناخته یا هنوز برطرفنشده در نرمافزارها، سختافزارها یا سیستمهای فریمورک سوءاستفاده میکند. اصطلاح «روز صفر» به این واقعیت اشاره دارد که تولیدکنندگان نرمافزار یا سختافزار هیچ زمانی برای رفع این آسیبپذیری ندارند، زیرا مهاجمان سایبری از قبل میتوانند از آن برای نفوذ به سیستمهای آسیبپذیر استفاده کنند.
این نوع ضعفهای امنیتی که هنوز شناسایی یا برطرف نشدهاند، بهعنوان آسیبپذیری روز صفر شناخته میشوند و زمانی که یک مهاجم سایبری از این آسیبپذیریها برای کاشت بدافزار، سرقت اطلاعات یا ایجاد آسیب در کاربران و سازمانها بهره ببرد، به آن حملهی روز صفر گفته میشود.
مفهومی مشابه اما مجزا، بدافزار روز صفر است که به ویروسها یا بدافزارهایی اطلاق میشود که هنوز امضای دیجیتالی شناختهشدهای ندارند و بنابراین بسیاری از نرمافزارهای آنتیویروس یا سایر فناوریهای امنیتی مبتنی بر امضا قادر به شناسایی آنها نیستند.
بر اساس گزارش تیم اطلاعات تهدید IBM X-Force®، از سال ۱۹۸۸ تاکنون ۷,۳۲۷ آسیبپذیری روز صفر ثبت شده است که تنها ۳٪ از کل آسیبپذیریهای امنیتی را شامل میشود. با این حال، این نوع آسیبپذیریها، بهویژه در سیستمعاملهای پراستفاده یا دستگاههای محاسباتی گسترده، یک تهدید جدی محسوب میشوند. چراکه تا زمانی که تولیدکنندگان یا جامعهی امنیت سایبری این مشکلات را شناسایی کرده و راهحلی ارائه دهند، شمار زیادی از کاربران و سازمانها در برابر حملات سایبری آسیبپذیر باقی میمانند.
آسیبپذیری روز صفر از همان لحظهای که یک نسخه از سیستمعامل، نرمافزار یا دستگاهی منتشر میشود، در آن وجود دارد. اما تولیدکنندگان نرمافزار یا سختافزار از این نقص بیاطلاع هستند. این آسیبپذیری ممکن است برای روزها، ماهها یا حتی سالها بدون شناسایی باقی بماند تا زمانی که فردی آن را کشف کند.
در بهترین حالت، پژوهشگران امنیتی یا توسعهدهندگان نرمافزار پیش از آنکه مهاجمان سایبری به این آسیبپذیری دسترسی پیدا کنند، آن را شناسایی میکنند. اما در برخی موارد، هکرها زودتر به این نقطهضعف پی میبرند و از آن سوءاستفاده میکنند.
فارغ از اینکه چه کسی ابتدا آسیبپذیری را کشف میکند، معمولاً این اطلاعات خیلی زود عمومی میشود. شرکتهای تولیدکننده و متخصصان امنیتی معمولاً مشتریان خود را آگاه میکنند تا اقدامات احتیاطی لازم را انجام دهند. در عین حال، هکرها نیز میتوانند این آسیبپذیری را در میان خود به اشتراک بگذارند، و پژوهشگران امنیتی نیز از طریق نظارت بر فعالیتهای مجرمان سایبری به آن پی ببرند. برخی شرکتها ممکن است این آسیبپذیری را مخفی نگه دارند تا زمانی که بهروزرسانی امنیتی یا راهحلی برای آن ارائه دهند، اما این کار یک ریسک محسوب میشود. اگر هکرها قبل از انتشار وصلهی امنیتی، این ضعف را کشف کنند، سازمانها و کاربران ممکن است غافلگیر شوند.
با آشکار شدن یک آسیبپذیری روز صفر، رقابتی میان متخصصان امنیتی که به دنبال ارائهی راهحلی برای آن هستند و هکرهایی که قصد سوءاستفاده از آن را دارند، آغاز میشود. اگر هکرها بتوانند یک روش بهرهبرداری مؤثر برای این آسیبپذیری توسعه دهند، از آن برای اجرای حملات سایبری استفاده میکنند.
معمولاً هکرها سریعتر از تیمهای امنیتی میتوانند روشهای سوءاستفاده از یک آسیبپذیری را توسعه دهند. طبق برخی برآوردها، روشهای بهرهبرداری معمولاً ظرف ۱۴ روز پس از افشای آسیبپذیری در دسترس قرار میگیرند. با این حال، پس از آغاز حملات روز صفر، شرکتهای تولیدکننده معمولاً طی چند روز وصلههای امنیتی را منتشر میکنند، زیرا از اطلاعات مربوط به حملات برای شناسایی دقیق مشکل استفاده میکنند. بنابراین، با وجود خطرات جدی آسیبپذیریهای روز صفر، معمولاً فرصت سوءاستفادهی هکرها از آنها محدود است.
استاکسنت یک کرم رایانهای پیشرفته بود که از چهار آسیبپذیری روز صفر در سیستمعامل ویندوز مایکروسافت سوءاستفاده میکرد. در سال ۲۰۱۰، این کرم در مجموعهای از حملات علیه تأسیسات هستهای ایران مورد استفاده قرار گرفت. پس از نفوذ به سیستمهای رایانهای این تأسیسات، استاکسنت فرمانهای مخربی به سانتریفیوژهای مورد استفاده برای غنیسازی اورانیوم ارسال کرد. این فرمانها باعث شدند که سانتریفیوژها با سرعتی غیرعادی بچرخند و در نهایت تخریب شوند. در مجموع، استاکسنت به ۱۰۰۰ سانتریفیوژ آسیب وارد کرد.
پژوهشگران بر این باورند که این بدافزار حاصل همکاری دولتهای ایالات متحده و اسرائیل بوده است، اما این ادعا هنوز تأیید نشده است.
این حمله یک آسیبپذیری روز صفر در Log4J بود، یک کتابخانهی متنباز جاوا که برای ثبت پیامهای خطا به کار میرود. این نقص امنیتی به هکرها امکان میداد تا کنترل از راه دور تقریباً هر دستگاهی را که از برنامههای مبتنی بر جاوا استفاده میکند، به دست بگیرند. از آنجایی که Log4J در برنامههای محبوبی مانند Apple iCloud و Minecraft استفاده میشد، صدها میلیون دستگاه در معرض خطر قرار گرفتند. پایگاه دادهی آسیبپذیریهای MITRE CVE به این نقص، بالاترین امتیاز خطر یعنی ۱۰ از ۱۰ را اختصاص داد.
آسیبپذیری Log4Shell از سال ۲۰۱۳ وجود داشت، اما هکرها تا سال ۲۰۲۱ شروع به سوءاستفاده از آن نکردند. این نقص امنیتی پس از کشف، بهسرعت اصلاح شد، اما در اوج حملات، پژوهشگران امنیتی بیش از ۱۰۰ حملهی Log4Shell در هر دقیقه را شناسایی کردند.
در اوایل سال ۲۰۲۲، هکرهای کره شمالی از یک آسیبپذیری روز صفر در اجرای کد از راه دور در مرورگر Google Chrome بهرهبرداری کردند. این مهاجمان با استفاده از ایمیلهای فیشینگ، قربانیان را به وبسایتهای جعلی هدایت میکردند. این سایتها از نقص امنیتی کروم برای نصب جاسوسافزار و بدافزارهای کنترل از راه دور روی دستگاههای قربانیان سوءاستفاده میکردند.
اگرچه این آسیبپذیری بهسرعت اصلاح شد، اما هکرها توانستند بهخوبی ردپای خود را پاک کنند، بهطوریکه پژوهشگران هنوز بهطور دقیق نمیدانند چه دادههایی به سرقت رفته است.
حملات روز صفر از چالشبرانگیزترین تهدیدات سایبری محسوب میشوند. هکرها میتوانند از این آسیبپذیریها قبل از آنکه اهدافشان از وجود آنها آگاه شوند، سوءاستفاده کنند. این موضوع به مهاجمان اجازه میدهد تا بدون شناسایی، به شبکههای مختلف نفوذ کنند.
حتی اگر آسیبپذیری بهصورت عمومی فاش شود، ممکن است مدتی طول بکشد تا شرکتهای نرمافزاری وصلهی امنیتی مناسب را منتشر کنند. در این فاصله، سازمانها در معرض خطر قرار میگیرند و امکان بهرهبرداری از آن آسیبپذیری همچنان وجود دارد.
امروزه هکرها بیشتر از گذشته از آسیبپذیریهای روز صفر استفاده میکنند. بر اساس گزارشی از Mandiant در سال ۲۰۲۲، تعداد آسیبپذیریهای روز صفر که تنها در سال ۲۰۲۱ مورد بهرهبرداری قرار گرفت، بیشتر از مجموع حملات روز صفر بین سالهای ۲۰۱۸ تا ۲۰۲۰ بوده است.
افزایش حملات روز صفر احتمالاً با پیچیدهتر شدن شبکههای سازمانی مرتبط است. امروزه شرکتها از ترکیبی از برنامههای ابری و داخلی، دستگاههای متعلق به شرکت و کارمندان، اینترنت اشیا (IoT) و فناوری عملیاتی (OT) استفاده میکنند. این تنوع باعث گسترش سطح حمله در سازمانها میشود، و در هر یک از این بخشها ممکن است آسیبپذیریهای روز صفر پنهان باشند.
از آنجا که آسیبپذیریهای روز صفر فرصتهای ارزشمندی برای هکرها فراهم میکنند، مجرمان سایبری اکنون این آسیبپذیریها و روشهای بهرهبرداری از آنها را در بازار سیاه با قیمتهای گزاف معامله میکنند. بهعنوان نمونه، در سال ۲۰۲۰، هکرها آسیبپذیری روز صفر در نرمافزار Zoom را با قیمتی تا ۵۰۰ هزار دلار به فروش میرساندند.
دولتها و گروههای تحت حمایت دولتی نیز به دنبال کشف و استفاده از آسیبپذیریهای روز صفر هستند. بسیاری از آنها بهجای افشای این آسیبپذیریها، ابزارهای مخفی برای سوءاستفاده از آنها طراحی میکنند و از این حملات علیه رقبای خود استفاده میکنند. این رویکرد با انتقادهای شدیدی از سوی شرکتهای امنیتی و پژوهشگران سایبری روبهرو شده است، زیرا این آسیبپذیریها تا زمانی که کشف و برطرف نشوند، سازمانهای بیخبر را در معرض تهدید قرار میدهند.
تیمهای امنیتی معمولاً در برابر آسیبپذیریهای روز صفر در وضعیت نامساعدی قرار دارند. از آنجایی که این نقصها ناشناخته و بدون وصلهی امنیتی هستند، سازمانها نمیتوانند آنها را در برنامههای مدیریت ریسک سایبری یا کاهش آسیبپذیریها لحاظ کنند.
بااینحال، شرکتها میتوانند با اتخاذ راهکارهایی، آسیبپذیریهای بیشتری را کشف کرده و تأثیر حملات روز صفر را کاهش دهند.
شرکتهای تولیدکنندهی نرمافزار و سختافزار پس از کشف آسیبپذیریهای روز صفر، بهسرعت وصلههای امنیتی منتشر میکنند. اما بسیاری از سازمانها در نصب بهموقع این بهروزرسانیها کوتاهی میکنند. ایجاد یک برنامهی رسمی مدیریت وصلههای امنیتی به تیمهای امنیتی کمک میکند تا در جریان انتشار این بهروزرسانیهای مهم باقی بمانند و آنها را در سریعترین زمان ممکن اعمال کنند.
ارزیابیهای عمیق آسیبپذیری و تستهای نفوذ میتوانند به شرکتها کمک کنند تا پیش از هکرها، آسیبپذیریهای روز صفر را در سیستمهای خود شناسایی کنند. انجام این تستها بهطور مداوم باعث افزایش مقاومت سازمان در برابر حملات روز صفر میشود.
ابزارهای مدیریت سطح حمله (ASM) به تیمهای امنیتی اجازه میدهند تا تمامی داراییهای موجود در شبکهی خود را شناسایی کرده و آنها را از نظر آسیبپذیریها بررسی کنند. این ابزارها شبکه را از دید یک مهاجم سایبری تحلیل میکنند و روی راههایی تمرکز دارند که تهدیدات میتوانند از طریق آنها به سیستمها نفوذ کنند. این قابلیت به سازمانها کمک میکند تا آسیبپذیریهای روز صفر را شناسایی کرده و پیش از بهرهبرداری از آنها، اقدام لازم را انجام دهند.
پژوهشگران امنیتی معمولاً جزو اولین افرادی هستند که آسیبپذیریهای روز صفر را شناسایی میکنند. سازمانهایی که از منابع اطلاعاتی تهدیدات بهروز استفاده میکنند، میتوانند زودتر از وجود آسیبپذیریهای روز صفر مطلع شوند و اقدامات لازم را برای مقابله با آنها انجام دهند.
بدافزارهای روز صفر معمولاً میتوانند روشهای تشخیص مبتنی بر امضا را دور بزنند، اما ابزارهایی که از یادگیری ماشین برای شناسایی رفتارهای مشکوک در لحظه استفاده میکنند، اغلب میتوانند حملات روز صفر را شناسایی کنند. برخی از راهکارهای تشخیص مبتنی بر ناهنجاری عبارتاند از:
در صورتی که یک هکر از طریق یک آسیبپذیری روز صفر به شبکهای نفوذ کند، معماری صفر اعتماد میتواند میزان خسارت را محدود کند. در این مدل امنیتی، احراز هویت مداوم و دسترسی با حداقل مجوزها اعمال میشود تا از حرکت جانبی مهاجمان در شبکه جلوگیری شود. این رویکرد باعث میشود که هکرها نتوانند به منابع حساس سازمانی دسترسی پیدا کنند.
با اجرای این راهکارها، سازمانها میتوانند ریسک آسیبپذیریهای روز صفر را کاهش داده و در برابر حملات سایبری مقاومتر شوند.
