DigiCert اعلام کرد که پس از یک حمله هدفمند به پورتال پشتیبانی، دهها مورد از گواهیهای EV Code Signing که بهصورت غیرمجاز صادر شده بودند را شناسایی و باطل کرده است. این رخداد نشان میدهد که حتی با وجود امنیت ساختار اصلی صدور گواهی، ضعف در فرآیندهای پشتیبانی و مدیریت حسابها میتواند مسیر سوءاستفاده مهاجمان از گواهیهای EV Code Signing را هموار سازد.
آغاز حمله؛ از یک پیلود مخرب تا نفوذ به پورتال پشتیبانی
طبق گزارش رسمی، مهاجم در 2 آوریل 2026 یک پیلود مخرب را از طریق کانال چت مشتری و در قالب یک اسکرینشات ارسال کرد. یکی از کارشناسان پشتیبانی با باز کردن این فایل بهصورت ناخواسته سیستم خود را آلوده کرد و منجر به آلودگی دو endpoint شد. مورد اول در 3 آوریل شناسایی شد اما مورد دوم بهدلیل اختلال در ابزارهای امنیتی با تأخیر در 14 آوریل شناسایی شد. همین تأخیر فرصت لازم را برای مهاجم فراهم کرد تا به پورتال پشتیبانی دسترسی پیدا کند و از فرآیند صدور گواهیهای EV Code Signing سوءاستفاده کند.
سوءاستفاده از قابلیت پروکسی برای صدور گواهیهای EV Code Signing
DigiCert توضیح میدهد که کارشناسان پشتیبانی احرازهویتشده برای مدیریت حسابها، از قابلیتی به نام پروکسی استفاده میکنند که به آنها اجازه میدهد بهطور موقت وارد حساب مشتری شوند. مهاجم پس از نفوذ با سوءاستفاده از همین قابلیت، توانست به کدهای راهاندازی (Initialization Codes) سفارشهای در حال انتظار دسترسی پیدا کند.
نحوه دریافت گواهیهای EV Code Signing بهصورت غیرمجاز
در فرآیند صدور DigiCert، ترکیب یک سفارش تأییدشده با کد راهاندازی معتبر برای تکمیل صدور گواهی کافی است. طبق گزارش، مهاجم با دسترسی به هر دوی این موارد، موفق شد برای مجموعهای محدود از سفارشها، گواهیهای EV Code Signing را روی چندین حساب کاربری و حتی از طریق چند مرجع صدور (CA) مختلف دریافت کند. بررسیها نشان میدهد این عملیات نتیجه نفوذ به زیرساخت اصلی PKI نبود، بلکه سوءاستفاده دقیق از زنجیره پشتیبانی و دسترسیهای داخلی بود.
شناسایی بدافزار Zhong Stealer و ابطال گواهیهای آلوده
DigiCert تا 17 آوریل، مجموعاً 60 گواهی را باطل کرد که 27 مورد مستقیماً به فعالیت مهاجم مرتبط بودند. از میان این گواهیها، 11 گواهی توسط جامعه امنیتی گزارش شد که برای امضای بدافزار خانواده Zhong Stealer استفاده شده بودند. وجود امضای معتبر باعث میشد این بدافزار بتواند بسیاری از مکانیزمهای دفاعی را دور بزند. با ابطال فوری گواهیهای EV Code Signing آلوده، تمام سفارشهای در انتظار نیز لغو شد تا مسیر سوءاستفاده مجدد کاملاً مسدود شود.
اقدامات اصلاحی DigiCert برای تقویت کنترلهای دسترسی
پس از این رخداد، DigiCert برای تقویت امنیت و کنترلهای دسترسی، مجموعهای از اقدامات اصلاحی را اجرا کرد، از جمله:
- فعالسازی اجباری MFA برای عملیات مدیریتی
- مسدود کردن دسترسی کاربران پروکسی به کدهای راهاندازی
- محدود کردن انواع فایلهای قابل ارسال از طریق چت پشتیبانی و پیوستهای Salesforce
- تقویت ثبت لاگ و مانیتورینگ سیستمها
این اقدامات با هدف جلوگیری از صدور غیرمجاز گواهیهای EV Code Signing و افزایش اعتماد در زنجیره امضای کد انجام شدهاند.
