پس‌لرزه‌های حمله به Azure؛ CISA درباره تهدید، علیه ارائه‌دهندگان SaaS هشدار داد!

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) درباره موج جدیدی از حملات سایبری به شرکت‌های ارائه‌دهنده خدمات نرم‌افزار به‌عنوان سرویس (SaaS) هشدار داد. این حملات، که پس از نفوذ به محیط Azure شرکت Commvault افشا شدند، نگرانی‌هایی را درباره امنیت اپلیکیشن‌های ابری با پیکربندی‌های پیش‌فرض و مجوزهای بیش‌ازحد ایجاد کرده‌اند.

جزئیات حملات به ارائه‌دهندگان SaaS

شرکت Commvault اعلام کرد که در اوایل ماه می 2025، فعالیت‌های غیرمجازی در محیط‌های Azure خود شناسایی کرده است. مایکروسافت در فوریه ۲۰۲۵ به این شرکت اطلاع داد که نشانه‌هایی از نفوذ عوامل وابسته به دولت‌ها در زیرساخت‌های آن مشاهده شده است. مهاجمان با سوءاستفاده از آسیب‌پذیری روز صفر با شناسه CVE-2025-3928 (با امتیاز شدت ۸.۷) به برخی از مشتریان Commvault دسترسی یافتند. این آسیب‌پذیری، که هنوز جزئیات آن عمومی نشده، نیازمند اطلاعات کاربری احراز هویت برای اکسپلویت است و می‌تواند به مهاجمان امکان اجرای وب‌شل‌های از راه دور روی سیستم‌های هدف را بدهد.

این نقص در ۲۸ آوریل ۲۰۲۵ به فهرست آسیب‌پذیری‌های اکسپلویت‌شده شناخته‌شده (KEV) اضافه شد. با این حال، هنوز مشخص نیست که آیا از این آسیب‌پذیری در حملات باج‌افزاری استفاده شده است یا خیر.

هدف مهاجمان

تحقیقات Commvault نشان داد که هدف مهاجمان، دسترسی به اطلاعات کاربری اپلیکیشن‌ها برای نفوذ به محیط‌های Microsoft 365 سازمان‌ها بوده است. آن‌ها از طریق سرویس پشتیبان‌گیری SaaS این شرکت، که در Azure میزبانی می‌شود و به Microsoft 365 متصل است، تلاش کردند به اسرار اپلیکیشن‌های ذخیره‌شده دسترسی پیدا کنند. CISA هشدار داد که این حمله ممکن است بخشی از کمپین بزرگ‌تری باشد که اپلیکیشن‌های ابری شرکت‌های مختلف SaaS را با پیکربندی‌های پیش‌فرض و مجوزهای بیش‌ازحد هدف قرار می‌دهد.

توصیه‌های امنیتی CISA

CISA با تأکید بر احتمال گسترش این تهدید به سایر شرکت‌های SaaS، توصیه‌های زیر را برای کاهش ریسک ارائه کرد:

• بررسی لاگ‌های Microsoft Entra برای شناسایی تغییرات غیرمجاز در اطلاعات کاربری یا افزودن اطلاعات کاربری مشکوک توسط اپلیکیشن‌های Commvault.
• نظارت بر انحرافات از فعالیت‌های معمول و فعال‌سازی فرآیند پاسخ به حوادث در صورت مشاهده موارد مشکوک.
• انجام تهدیدیابی داخلی با استفاده از لاگ‌های audit و sign-in در Microsoft Entra.
• تعریف سیاست‌های دسترسی شرطی برای اپلیکیشن‌های single-tenant، به‌گونه‌ای که احراز هویت تنها از آدرس‌های IP مجاز Commvault امکان‌پذیر باشد.
• چرخش و تغییر اطلاعات کاربری و اسرار اپلیکیشن‌هایی که بین فوریه تا می ۲۰۲۵ فعال بوده‌اند.
• کاهش سطح دسترسی حساب‌هایی با مجوزهای مدیریتی غیرضروری.
• محدودسازی دسترسی به رابط‌های مدیریتی برای مشتریان on-premise به شبکه‌ها و سیستم‌های مطمئن.
• اطمینان از نصب تمام پچ‌های امنیتی مرتبط با Commvault (مشتریان ابری به‌طور خودکار پچ‌ها را دریافت می‌کنند).
• استفاده از فایروال اپلیکیشن (WAF) برای شناسایی و جلوگیری از پیمایش های مسیر(Path traversal) یا آپلود فایل‌های مشکوک.
• قطع دسترسی خارجی به اپلیکیشن‌های Commvault در صورت امکان.

منابع: