5 نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)

در حال حاضر، بیش از 455 میلیون وب‌سایت با وردپرس طراحی شده‌اند که این واقعیت را نشان می‌دهد که سیستم مدیریت محتوای منبع باز یک هدف سودآور برای مجرمان سایبری است و چرا امنیت باید اولویت اصلی کاربران WP باشد .

بله ، نشانه هایی وجود دارد که نشان می دهد وردپرس یا هر وب سایت شما هک شده است ، و راه هایی برای رفع آن وجود دارد . این مقاله پنج راه را ارائه می دهد که می توانید متوجه شوید که وب سایت شما هک شده است یا خیر، و سپس چند راه برای حل هک ارائه می دهد .

به یاد داشته باشید که یک مهاجم مخرب راه های مختلفی برای دسترسی دارد. ممکن است یک بدافزار یا یک پلاگین شرور باشد ، اما ممکن است چیز شوم تری باشد ، مثلاً ایمیل شما هک شده باشد یا گوشی هوشمند/ رایانه شما دارای نرم افزارهای جاسوسی باشد . در اینجا چند نشانه وجود دارد که نشان می دهد وب سایت شما هک شده است .

 1-شما نمی توانید وارد حساب کاربری خود شوید
اگر نمی توانید وارد حساب کاربری خود شوید ، این یک نشانه کلاسیک است که نشان می دهد شما هک شده اید . با این حال ، علیرغم اینکه یک نشانه کلاسیک است ، یکی از کمترین موارد رایج است . بسیاری از هکرها نمی خواهند شما متوجه شوید که هک شده اید . این به آن‌ها اجازه می‌دهد اطلاعات مشتری شما را جمع‌آوری کنند و / یا شما را در وب‌سایت خود نگه می‌دارند تا بتوانند به بهره‌برداری از آن ادامه دهند .

2-پرونده ها و اسکریپت های ناشناخته
برای کسانی از شما که از برنامه نویسی اطلاع دارید ، ممکن است بتوانید وب سایت خود را از هرگونه بدافزار و خطرات امنیتی پاک کنید . اگر مهارت دارید ، می توانید به کد وردپرس خود نگاه کنید ، ممکن است اسکریپت های ناشناخته و پرونده های احتمالاً ناشناخته را در وردپرس خود مشاهده کنید . این اغلب به دلیل افزونه های ناعادلانه است که پرونده های خود را پشت سر می گذارند که ممکن است توسط هکرها یا سایر بدافزارها در تاریخ بعدی استفاده شود .

3-وب سایت شما کند شد
این سیگنالی است که شخصی به دلایل ناعادلانه از وب سایت شما استفاده می کند. این می تواند هر چیزی باشد ، از افرادی که از تصاویر شما و از پهنای باند خود استفاده می کنند ، تا افراد اسپم شده از وب سایت Google Safe شما به یکی از موارد ناخوشایند خود هدایت شوند .

یکی دیگر از دلایلی که وب سایت شما ممکن است برای بارگیری بسیار طولانی تر از حد معمول طول بکشد این است که ممکن است به خطر بیفتد و به عنوان بخشی از یک بات نت در مقیاس بزرگتر استفاده شود . در سال 2018 ، محققان 20،000 وب سایت به خطر افتاده وردپرس را که به عنوان یک بات نت برای انجام حملات سایبری کار می کردند ، شناسایی کردند .

4-موارد عجیب و غریب در وب سایت شما
یک ترفند احمقانه این است که پاپ آپ را به وب سایت خود اضافه کنید . این احمقانه است زیرا شما را به هک هشدار می دهد و باعث واکنش شما می شود . در واقعیت ، آنها پیوندهایی به وب سایت های اسپم اضافه می کنند که بینندگان بی گناه شما از بین می روند . پس از مدتی به دلیل داشتن یک وب سایت مشکوک توسط موتورهای جستجو ممنوع می شوید .

5-درآمد ترافیک یا وابسته شما کاهش یافته است
این یکی دیگر از نشانه های کلاسیک است که نشان می دهد وب سایت شما هک شده است . مهاجم از ترافیک شما و شاید حتی پول وابسته شما برای اهداف خود استفاده می کند . اغلب ، این رفتارهای عجیب و غریب در تجزیه و تحلیل شما است که به شما در مورد هک وردپرس هشدار می دهد .

چطوری میشه اینو تعمیر کرد
اول از همه ، شما باید منبع حمله را شناسایی کنید . اگر نه ، می توانید گزارش های دسترسی سرور خود را بررسی کنید. هنگامی که می دانید حمله از کجا آمده است ، می توانید اقداماتی را برای مسدود کردن آن آدرس IP انجام دهید .

سپس باید شروع به تغییر رمز عبور خود – برای حساب وردپرس خود و همچنین هر FTP یا حساب های میزبانی مرتبط با سایت خود کنید . حتما از رمزهای عبور قوی استفاده کنید که حدس زدن آن ها دشوار است .

علاوه بر این ، می‌توانید ایمیل اصلی وردپرس را فقط در صورت بروز مشکل تغییر دهید . باید افزونه های خود را مرور کنید تا متوجه شوید که آیا یکی از آنها باعث ایجاد مشکل شده است یا خیر . اگر افزونه امنیتی نصب کرده اید، لاگ های آن را بررسی کنید تا ببینید آیا سرنخ هایی وجود دارد یا خیر .

شما باید از طریق افرادی که به آنها مجوز داده اید بروید ، زیرا ممکن است درگیر یک کلاهبرداری وردپرس یا یک وب سایت جعلی شده باشند و ناآگاهانه اطلاعات خود را از دست داده باشند. همچنین ممکن است لازم باشد به میزبان وب خود نیز مشکوک شوید زیرا آنها اغلب هک می شوند یا اطلاعات مشتری را به صورت آنلاین بدون هیچ گونه احراز هویت امنیتی افشا می کنند.

اگر هنوز مطمئن نیستید با یک شرکت امنیتی وب سایت مانند Sucuri یا سرویسی مانند WP Masters تماس بگیرید تا به آنها اجازه دهید در وب سایت شما اجرا شوند ، آن را تعمیر کنند ، هکرها را حذف کنند، بدافزار را حذف کنند و کنترل کامل بر وب سایت خود را دوباره به دست آورند. این اغلب تنها راه قطعی برای بازگرداندن کنترل کامل وب سایت شما است . در نهایت ، باید هر کد مخربی که ممکن است به سایت شما تزریق شده باشد را پاک کنید .

بیشتر بخوانید

کاربران QNAP در میانه دو کمپین باج‌افزاری Blitz

تامین کننده تایوانی QNAP اواخر هفته گذشته هشداری درباره تهدیدی حیاتی از سوی گونه DeadBolt منتشر کرد که به نظر می‌رسد کاربرانی را که از نسخه‌های قدیمی QTS 4.x استفاده می‌کنند، هدف قرار می‌دهد و به نظر می‌رسد این مشتریان در میانه دو کمپین باج‌افزار گرفتار شده‌اند.

شرکت Qnap در این بیانیه آورده است : “برای ایمن کردن NAS خود، ما قویاً توصیه می‌کنیم که QTS یا QuTS hero را فوراً به آخرین نسخه به روز کنید.”

«اگر NAS شما قبلاً به خطر افتاده است، اسکرین شات از یادداشت باج بگیرید تا آدرس بیت کوین حفظ شود، سپس به آخرین نسخه سیستم عامل ارتقا دهید و برنامه داخلی حذف بدافزار به طور خودکار یادداشت درخواست باج را که صفحه ورود را دزدیده است، قرنطینه می‌کند. ”

مضاف بر آن، محققان امنیتی نسبت به تجدید حیات کمپین eCh0raix که همان دستگاه‌ها را هدف قرار می‌دهد، هشدار داده‌اند.

کارستن هان، تحلیلگر بدافزار G Data، این یافته را در توییتر اعلام کرد. طبق گفته ویروس توتال، این باج‌افزار که با نام QNAPCrypt نیز شناخته می‌شود، در حال حاضر تنها توسط ۲۸ تأمین‌کننده از ۵۸ تأمین‌کننده شناسایی می‌شود.

در زمان نگارش این مقاله هیچ خبری از QNAP وجود نداشت، اما مطمئناً این اولین باری نیست که دستگاه‌های آن توسط هر دو نوع هدف قرار می‌گیرند.

در واقع، در ماه می‌سال جاری میلادی، این تأمین‌کننده در اطلاعیه‌ای هشدار داد که دستگاه‌هایی که از گذرواژه‌های ضعیف یا سیستم‌افزار قدیمی QTS استفاده می‌کنند، ممکن است مستعد حمله باشند.

برای جلوگیری از به خطر افتادن، به مشتریان توصیه شده است که از رمز‌های عبور قوی‌تر برای حساب‌های ادمین استفاده کنند. حفاظت از دسترسی IP را برای کاهش خطر حملات brute force فعال نمایند. از استفاده از پورت‌های ۴۴۳ و ۸۰۸۰ خودداری کرده و QTS و همه برنامه‌های مرتبط را به آخرین نسخه‌ها به روز کنند.

در همان ماه، QNAP یک هشدار امنیتی جداگانه درباره کمپین DeadBolt قبلی صادر کرد. DeadBolt همچنین در ژانویه امسال حمله کرد.

باد برومهد، مدیر عامل Viakoo، توضیح داد که حدود ۱۰ مورد از ۷۰۰+ آسیب‌پذیری شناخته شده CISA که مورد سواستفاده قرار گرفته‌اند، QNAP را تحت تأثیر قرار می‌دهند.

وی افزود: «دستگاه‌های QNAP برای مجرمان سایبری بسیار جذاب هستند؛ استراتژی آن‌ها این است که از تعداد زیادی از قربانیان مقدار کمی پول بخواهند، در حالی که از تعداد کمی از قربانیان درخواست مبالغ زیاد می‌کنند».

۹۰۰ دلاری که به عنوان باج درخواست می‌شود در سطحی است که بسیاری از اپراتور‌های دستگاه‌ها به جای مشارکت دادن تیم‌های فناوری اطلاعات یا امنیتی خود، پرداخت باج را انتخاب می‌کنند و به طور بالقوه با عواقب داخلی ناشی از عدم نصب صحیح و ایمن‌سازی دستگاه‌ها مواجه می‌شوند.

بیشتر بخوانید

سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید

تاکتیک‌های اساسی برای محافظت از اکوسیستم‌های‌ ایمیل

از آنجایی که امنیت‌ ایمیل یک چشم انداز همیشه در حال تغییر است، تمرکز بر مرتبط‌ترین مسائل در چشم انداز تهدید، جایی است که سازمان‌ها باید از آن شروع کنند.

بنابراین، کدام تاکتیک‌های‌ ایمیل مرتبط‌ترین و مبرم‌ترین مسائلی هستند که باید روی آن تمرکز کنیم؟ بر اساس بینش‌های Cofense، این سه نوع حمله از سال ۲۰۲۱ رایج‌ترین آن‌ها بوده‌اند:

• فیشینگ اعتبارنامه
• به خطر انداختن‌ ایمیل تجاری (BEC)
• بدافزار‌ها

به گفته تحلیلگران مرکز دفاع فیشینگ Cofense، فیشینگ اعتبارنامه، حدود ۷۰ درصد از تمام حملات را تشکیل می‌دهد که BEC با ۷ درصد پشت سر این حملات قرار می‌گیرد و بدافزار (به همراه چند مورد دیگر) بقیه موارد را تشکیل می‌دهند. وقتی به آن اعداد نگاه می‌کنید و آن‌ها را با مواردی که در طول یک حمله فیشینگ اعتبارنامه موفقیت‌آمیز کنار گذاشته می‌شوند ترکیب می‌کنید، مشخص می‌شود که توقف حملات اعتبارنامه‌ای باید در اولویت باشد. این بدان معنا نیست که توقف حملات BEC و بدافزار مهم نیست، بلکه قطعاً مهم هستند. حملات موفق، مانند حملات باج‌افزاری، اغلب برای مهاجم بسیار سودآور و برای قربانی بسیار دردناک و پرخطر هستند.

برای هر سه این حملات، چند تاکتیک اساسی وجود دارد که سازمان‌ها باید اتخاذ کرده تا اطمینان حاصل کنند که از اکوسیستم‌ ایمیل خود محافظت می‌نمایند.

آموزش کاربران
حملات فیشینگ اعتبارنامه به دنبال سرقت نام‌های کاربری و رمز‌های عبور هستند و اغلب با استفاده از نمایش‌های جعلی از صفحات ورود واقعی انجام می‌شوند. بنابراین آموزش کاربران بسیار مهم بوده و اولین و بهترین گام برای ایمن نگه داشتن یک شرکت است. آموزش در زمینه تجارت واقعی بسیار کلیدی است، زیرا در صنعت تمایل بیشتری به تمرکز بر حجم نسبت به کیفیت وجود دارد. به عبارت دیگر، وقت کارمندان خود را با شبیه‌سازی‌های آموزشی که مرتبط نیستند تلف نکنید و به جای آن مستقیماً به سراغ آنچه که باید بدانند بروید.

این مسأله در مورد تهدیدات BEC و بدافزار نیز صادق است. پیوست‌های طرف‌های ناشناس خارجی همیشه مشکوک هستند و کسی که از طرف یکی از مدیران شرکت درخواست کارت‌های هدیه، حواله‌های وایری، کلاهبرداری‌های عاشقانه یا سایر تراکنش‌های مالی می‌کند، هرگز نباید بررسی و دانلود شود. تمام این انواع حملات در وهله اول توسط کارکنان آموزش داده می‌شود.

گزارش‌دهی
رویکرد دوم این است که اطمینان حاصل شود که کارمندان می‌توانند با مشاهده یک تهدید، آن را گزارش کنند. مرکز عملیات امنیتی شما (SOC) نمی‌تواند به آنچه که نمی‌بیند پاسخ دهد، بنابراین یک قابلیت گزارش‌دهی به SOC شما این امکان را می‌دهد تا دید مورد نیاز را به آنچه از طریق‌ ایمیل برای شما ارسال می‌شود داشته باشد. قابلیت‌های گزارش‌دهی حیاتی هستند، بنابراین یکی را انتخاب کنید که به راحتی استقرار یابد، از طیف وسیعی از پلتفرم‌ها در سازمان شما پشتیبانی کند، بتواند در هنگام گزارش شبیه‌سازی به کاربران بازخورد ارائه کند، و مهمتر از همه، ‌ ایمیل کامل را برای تجزیه و تحلیل به باکس سواستفاده‌های SOC ارائه دهد.

پاسخ سریع
رویکرد سوم ایجاد یک قابلیت واکنش سریع است که به شما امکان می‌دهد یک تهدید واقعی را جهت‌گیری کنید و به سرعت به آن پاسخ دهید. اگر هم بتوانید “عامل مخرب و بد” را شناسایی کنید و هم به “عامل مخرب و بد” پاسخ دهید، بنابراین تهدید را خنثی یا محدود کنید، سازمان خود را از یک حمله نجات داده‌اید. این فقط به گزارشگر یک‌ ایمیل بالقوه مخرب محدود نمی‌شود، بلکه به همه گیرندگان آن‌ ایمیل مربوط می‌شود. اکثر حملات بیش از یک‌ ایمیل را به یک شرکت ارسال می‌کنند، بنابراین اگر یکی از آن‌ها را پیدا کرده‌اید، احتمالاً‌ ایمیل بیشتری در راه دارید. یافتن‌ ایمیل‌های دیگر زمانی مهم است که نخواهید تهدیدی در صندوق ورودی کاربران وجود داشته باشد.

تجزیه و تحلیل پس از دریافت
در نهایت، قابلیت‌های موقعیت‌یابی که می‌توانند تکامل یابند و تهدید‌ها را بطور فعال شناسایی کنند، خطر را حتی بیشتر کاهش می‌دهد. دروازه‌های‌ ایمیل امن (Secure Email Gateway) یا SEG‌ها، یکی از روش‌ها هستند، اما ما به طور مداوم می‌بینیم که تهدید‌ها از این دروازه‌ها عبور می‌کنند، بنابراین نیاز به تجزیه و تحلیل و قابلیت‌های پاسخ پس از تحویل را الزامی می‌کنند. هر SEG موجود در بازار امروز دارای نقاط ضعفی است.

به‌طور سنتی، شرکت‌ها SEG‌ها را به‌صورت سری روی هم قرار می‌دهند تا احتمال شناسایی یک تهدید را افزایش دهند؛ که یک راه حل تجزیه و تحلیل پس از تحویل، که با دانش درباره آنچه در تمام SEG‌ها وجود دارد، از نظر عملکردی مؤثرتر و همچنین مقرون به صرفه‌تر است.

درک رایج‌ترین تهدید‌ها برای تعیین محل مصرف انرژی و منابع محدود، بسیار مهم است. همه انواع حملات‌ ایمیل خطرناک هستند، اما با آموزش، گزارش، تجزیه و تحلیل، شناسایی و پاسخ به خوبی اجرا شده، خطر تسلیم شدن در برابر هر یک از رویکرد‌های حمله‌ ایمیلی که در مورد آن صحبت کردیم را می‌توان کاهش داد.

بیشتر بخوانید

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید

چهار نکته اساسی برای به حداکثر رساندن امنیت API

حجم اینترفیس‌های برنامه‌نویسی برنامه‌ها (API) بین سال‌های ۲۰۲۰ و ۲۰۲۱ افزایش یافته است. Postman رشد جهانی اکوسیستم API را تأثیرگذار خوانده و اشاره کرد که چگونه شاهد افزایش ۳۹ درصدی در تعداد مجموعه‌های ایجاد شده تا ۳۰ میلیون بوده است. حتی رشد بیشتر در تعداد درخواست‌های API ایجاد شده، با تعداد ۸۵۵ میلیون، که افزایش ۵۶ درصدی را تشکیل می‌دهد نیز مشاهده شده است.

چرا این یک مزیت محسوب می‌شود؟
اساساً API‌ها چندین مزیت را برای سازمان‌ها فراهم می‌کنند. به گفته تامسون رویترز، API‌ها می‌توانند به سازمان‌ها در صرفه‌جویی در زمان و منابع با ساده‌سازی یا حذف کلی وظایف خاص کمک کنند. این می‌تواند دسترسی سازمان‌ها به داده‌هایشان و مشارکت در گزارش‌های در لحظه کسب‌وکار را آسان‌تر کند و در عین حال موارد خطای انسانی را که می‌تواند کسب‌وکار را به خطر بیندازد، به حداقل برساند.

با آزاد شدن این منابع، سازمان‌ها می‌توانند بر ارائه ارزش به مشتریان خود تمرکز کنند. آن‌ها همچنین می‌توانند از API‌ها برای متمایز کردن خود از رقبای خود از طریق یک یا چند تخصص استفاده کنند. API‌ها می‌توانند به آن‌ها کمک کنند تا نیاز‌های آن بخش‌های خاص را برطرف کنند و در نتیجه فرصت‌های تجاری جدید‌ امیدوار‌کننده‌ای ایجاد کنند.

چرا گاهی اوقات این یک مشکل محسوب می‌شود؟
با این حال، API‌ها می‌توانند پیچیدگی و خطرات امنیتی را ایجاد کنند. بر اساس تحقیقات انجام شده توسط Cloudentity، حدود ۹۷٪ از سازمان‌ها به دلیل نگرانی‌های امنیتی API در انتشار برنامه‌ها و سرویس‌های جدید با تأخیر مواجه شده‌اند. تقریباً نیمی از آن‌ها (۴۴٪) این نگرانی‌ها را به عنوان نگرانی‌های جدی مربوط به قرار گرفتن در معرض اطلاعات خصوصی و سایر داده‌ها بیان کرده‌اند.

گاهی اوقات، سازمان‌ها بیشتر بر روی حفظ زمان تحویل سریع برنامه‌ها تمرکز می‌کنند تا امنیت API‌های خود. این عدم تعادل به عنوان بودجه ناکافی برای تلاش‌های امنیتی API، از جمله آموزش آگاهی از امنیت برای توسعه‌دهندگان و سایر ذینفعان، ظاهر می‌شود. با اذعان به این یافته‌ها، جای تعجب نیست که فقط ۲ درصد از پاسخ‌دهندگان در نظرسنجی به توانایی سازمان خود برای ایمن‌سازی API‌های خود اطمینان داشتند.

فرصت‌هایی برای تغییر
بسیاری از سازمان‌ها به دنبال ایجاد تغییر برای امنیت API خود هستند. در نظرسنجی فوق الذکر توسط Cloudentity، حدود ۹۳ درصد از پاسخ‌دهندگان نشان دادند که قصد دارند بودجه و منابع خود را برای امنیت API افزایش دهند. بیش از نیمی (۶۴٪) نوشتند که بودجه آن‌ها می‌تواند تا ۱۵٪ در آینده افزایش یابد.

این یافته‌ها سؤال مهمی را مطرح می‌کند. سازمان‌هایی که به دنبال به حداکثر رساندن امنیت API خود هستند باید توجه خود را به کجا معطوف کنند؟ در زیر چهار نکته مهم که به این امر کمک می‌کند، ارائه شده است:

نکته شماره ۱: یک استراتژی مدیریت API را اتخاذ کنید
ابتدا، سازمان‌ها باید یک استراتژی مدیریت API را اتخاذ کنند. Help Net Security اشاره کرد که آن‌ها باید با ارائه فرآیند‌های واضح برای طراحی، پیاده‌سازی و مدیریت API که با الزامات کسب‌وکار مطابقت دارد، تا حد امکان به شکل پیشگیرانه‌ی، این استراتژی را انجام دهند. به عنوان بخشی از استراتژی خود، سازمان‌ها همچنین باید راه‌هایی را مستند کنند که از طریق آن تیم‌های امنیتی بتوانند آسیب‌پذیری‌های مربوط به API‌های خود را شناسایی، به‌ویژه ۱۰ نقطه ضعف برتر API که توسط پروژه امنیتی برنامه‌های باز وب (OWASP) شناسایی شده‌اند، اولویت‌بندی و اصلاح کنند. همه عناصر امنیتی دیگر از این پایه یک استراتژی مدیریت API سرچشمه می‌گیرند، بنابراین مهم است که آن را به درستی انجام دهید و با تکامل کسب‌وکار، آن را بازبینی و به روز کنید.

نکته شماره ۲: همه API‌های آن‌ها را پیدا کنید
با وجود یک استراتژی مدیریت API، سازمان‌ها می‌توانند تمام API‌های خود را در هر کجا که ساکن هستند کشف کنند. با این حال، آن‌ها باید در مورد نحوه برخورد با این مرحله، استراتژیک برخورد کنند. به عنوان مثال، IT همیشه در مورد همه API‌های مورد استفاده در سازمان نمی‌داند، بنابراین تکیه بر فرآیند‌های کشف دستی آن‌ها می‌تواند نقاط کور بحرانی ایجاد نماید.

سازمان Salt Security با این ارزیابی موافق است. آن‌ها در یک پست وبلاگ توضیح داده‌اند: «مستندسازی API، اگرچه به خودی خود بهترین روش است، اما ممکن است به طور مداوم انجام نشود. کشف خودکار اندپوینت‌های API، پارامتر‌ها و انواع داده‌ها برای همه سازمان‌ها ضروری است.»

با در نظر گرفتن این موضوع، سازمان‌ها باید API‌ها را در تمام محیط‌های خود نه فقط تولید، بلکه کشف کنند که شامل وابستگی‌های API و برچسب‌گذاری API‌های خود به عنوان بهترین عمل و شکل DevOps است.

نکته شماره ۳: افزایش آگاهی کارکنان از امنیت API
سازمان‌ها اگر نیروی کار آن‌ها تهدیدات موجود را درک نکنند، نمی‌توانند انتظار داشته باشند که همه از شیوه‌های امنیتی API پیروی کنند. برای رفع این مشکل، آن‌ها می‌توانند از آموزش آگاهی امنیتی برای آموزش کارکنان خود در مورد حملات مبتنی بر API و نحوه تهدید آن‌ها برای کسب‌وکار استفاده کنند. فوربز نوشت، این تلاش‌ها به برقراری امنیت در مراحل طراحی، ساخت و استقرار نرم‌افزار کمک می‌کند. همچنین مکمل ابتکارات DevSecOps است که برای ارتقای همکاری بین تیم‌های توسعه برنامه، امنیت و عملیات طراحی شده‌اند.

نکته ۴: به Zero Trust برسید
در نهایت، سازمان‌ها باید Zero Trust را به عنوان هدف خود در نظر بگیرند. یک رویکرد Zero trust می‌تواند به تیم‌های امنیتی کمک کند تا به طور مداوم سرویس، درخواست‌کننده و مشتری را تأیید کنند، بنابراین تهدیدات حملات API را به حداقل می‌رساند. تیم‌ها همچنین می‌توانند از Zero Trust برای ممیزی آن درخواست‌ها برای نشانه‌های ایجاد خطر و شاخص‌هایی که سپس می‌توانند برای محدود کردن دامنه یک حادثه بر اساس آن‌ها عمل کنند، استفاده کنند.

بیشتر بخوانید

تهدید خدمات مشتری سیسکو با اشکال بحرانی در مرکز ارتباطات سیسکو

مهاجمان می‌توانند به منابع ایجنت، صف تلفن مشتریان و سایر سیستم‌های خدمات مشتری دسترسی داشته باشند و آن‌ها را تغییر دهند و همچنین به اطلاعات شخصی مشتریان شرکت‌ها دسترسی داشته باشند.

یک باگ امنیتی حیاتی که بر پورتفولیوی Unified Contact Center Enterprise (UCCE) سیسکو تأثیر می‌گذارد، می‌تواند امکان افزایش اختیارات و تصاحب پلتفرم را فراهم کند.

اساساً Cisco UCCE یک پلتفرم خدمات مشتری داخلی است که قادر به پشتیبانی از ۲۴۰۰۰ ایجنت خدمات مشتری با استفاده از کانال‌هایی است که شامل صدای ورودی، صدای خروجی، پاسخ صوتی تعاملی خروجی (IVR) و کانال‌های دیجیتال می‌شود. همچنین یک لوپ ارسال بازخورد از طریق تلفن گویای پس از تماس، ‌ایمیل و نظرسنجی رهگیری وب را ارائه می‌دهد. و گزینه‌های گزارش دهی مختلف برای جمع‌آوری اطلاعات در مورد عملکرد ایجنت برای استفاده در ایجاد معیار‌ها و اطلاع‌رسانی هوش تجاری را در خود جای داده است.

بر اساس گزارش وب سایت محصولات، برخی از کاربران این محصول از جمله T-Mobile USA در میان این کاربران قرار گرفته‌اند.

باگ مورد بحث (CVE-۲۰۲۲-۲۰۶۵۸) بسیار شدید بوده و با امتیاز بحرانی 9.6 از 10 در مقیاس شدت آسیب‌پذیری CVSS، می‌تواند به مهاجمان احراز هویت شده و از راه دور اجازه دهد تا اختیارات خود را با توانایی ایجاد حساب جدید ادمین، افزایش دهند.

این به طور خاص در اینترفیس مدیریت مبتنی بر وب پورتال مدیریت مرکز تماس واحد Cisco (Unified CCMP) و Cisco Unified Contact Center Domain Manager (Unified CCDM) وجود دارد و از این اصل ناشی می‌شود که سرور به مکانیزم‌های احراز هویت که توسط کلاینت اداره می‌شود، تکیه می‌کند. این مسأله در را به روی مهاجمی باز می‌کند تا رفتار سمت کلاینت را برای دور زدن مکانیسم‌های حفاظتی دنبال کند.

مشخصاً CCMP یک ابزار مدیریتی است که به سوپروایزر مرکز تماس این امکان را می‌دهد تا عواملی را که در مناطق مختلف مرکز تماس کار می‌کنند، بین صف‌های تماس، مارک‌ها، خطوط محصول و موارد دیگر جابجا کنند، اضافه کنند و تغییر دهند. CCDM مجموعه‌ای از اجزای سرور برای مدیریت پشتیبان (back-end)، از جمله احراز هویت و سایر عملکرد‌های امنیتی، تخصیص منابع و پایگاه داده‌ای است که اطلاعات مربوط به همه منابع (مانند ایجنت‌ها و شماره‌های شماره‌گیری شده) و اقدامات انجام شده (مانند تماس‌های تلفنی و تغییر وضعیت ایجنت) را در سیستم در خود نگه می‌دارد.

سیسکو هشدار داد که با داشتن حساب‌های ادمین اضافی، مهاجمان می‌توانند به منابع تلفن و کاربر در تمام پلتفرم‌هایی که به سیسکو Unified CCMP که آسیب‌پذیر است، مرتبط هستند دسترسی پیدا کرده و آن‌ها را تغییر دهند. می‌توان این را بدون ذکر آسیبی که می‌توان با دسترسی به مجموعه داده‌های اطلاعات شخصی مشتریان، از جمله ارتباطات تلفنی و‌ ایمیلی که سیستم باید در اختیار شرکت‌ها قرار دهد، وارد آورد، به تخریب عملیاتی و هویت برندی را که مهاجم می‌تواند با تخریب کردن سیستم‌های خدمات مشتری یک شرکت بزرگ ایجاد کند را تعبیر کرد.

استفاده از آن نیز سخت نیست: سیسکو در توصیه نامه امنیتی در این هفته توضیح داد: «این آسیب‌پذیری به دلیل عدم اعتبارسنجی سمت سرور مجوز‌های یوزر است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP دستکاری شده به یک سیستم آسیب‌پذیر از این آسیب‌پذیری سواستفاده کند».

با این حال، برای بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری، مهاجمان به اعتبارنامه‌های معتبر «advanced user» نیاز دارند، بنابراین این اشکال برای دسترسی اولیه باید با آسیب‌پذیری دیگر مرتبط و متصل شود.

پچ‌هایی برای این مشکل وجود دارد، اما راه حل اساسی این مشکل نیستند. اطلاعات پچ به شرح زیر است:

نسخه های 11.6.1 و نسخه های قبلی: نسخه ثابت 11.6.1 ES17 است.
نسخه 12.0.1: نسخه ثابت 12.0.1 ES5 است.
نسخه 12.5.1: نسخه ثابت 12.5.1 ES5 است.
نسخه 12.6.1: تحت تأثیر قرار نمی گیرد.

به گفته این غول شبکه، تاکنون هیچ سواستفاده عمومی شناخته شده‌ای از این آسیب‌پذیری مشاهده نشده است.

راه‌حل‌های مرکز تماس سیسکو قبلاً با اشکالات مهمی روبرو بوده است. به عنوان مثال، در سال ۲۰۲۰ یک اشکال مهم در پلتفرم «مرکز تماس in-a-box»، Unified Contact Center Express، یافت شد که امکان اجرای کد از راه دور را فراهم می‌کرد.

بیشتر بخوانید