خانه » 10 مورد از رایج‌ترین نقاط ضعف سطح حمله در سال 2026

10 مورد از رایج‌ترین نقاط ضعف سطح حمله در سال 2026

توسط Vulnerbyte_News
29 بازدید

نفوذهای سایبری همیشه از یک آسیب‌پذیری روز صفر (Zero-Day) آغاز نمی‌شوند. گاهی یک پنل مدیریتی که به‌اشتباه در اینترنت در دسترس قرار گرفته، هدف حملات بروت فورس (Brute Force) قرار می‌گیرد یا مهاجمان از اعتبارنامه‌های سرقت‌شده در حملات قبلی برای نفوذ استفاده می‌کنند.

با این حال، زمانی که یک آسیب‌پذیری جدید منتشر می‌شود، شرایط می‌تواند به‌سرعت بحرانی شود. برای مثال، آسیب‌پذیری MongoBleed که اوایل سال جاری افشا شد، به مهاجمان اجازه می‌داد بدون نیاز به احراز هویت، اطلاعات حساسی مانند اعتبارنامه‌ها و توکن‌های نشست را مستقیماً از حافظه سرور استخراج کنند. در چنین شرایطی، هر سرویسی که از طریق اینترنت قابل دسترس باشد، به یک نقطه بالقوه برای نفوذ و سوءاستفاده تبدیل می‌شود.

امروزه فاصله زمانی میان انتشار یک آسیب‌پذیری و توسعه اکسپلویت به حدود یک روز کاهش یافته است. بنابراین پرسش اصلی دیگر تنها این نیست که سازمان‌ها با چه سرعتی پچ‌های امنیتی را نصب می‌کنند؛ بلکه این است که چرا آن سرویس از ابتدا در دسترس عموم قرار داشته است.

پژوهشگران شرکت Intruder برای پاسخ به این سؤال، سطح حمله (Attack Surface) مربوط به 3  هزار سازمان را بررسی کردند تا مشخص کنند چه میزان از دارایی‌های قابل دسترس از اینترنت را سرویس‌ها و سامانه‌هایی تشکیل می‌دهند که اساساً نباید در معرض دسترسی عمومی قرار داشته باشند. بخش قابل‌توجهی از سطح حمله این سازمان‌ها از سرویس‌ها، پایگاه‌های داده، پنل‌های مدیریتی و اطلاعاتی تشکیل شده است. یافته‌های این پژوهش که در قالب گزارش شاخص مدیریت سطح حمله 2026 منتشر شده، تصویری جامع از رایج‌ترین نقاط مواجهه سازمان‌ها با تهدیدات اینترنتی در صنایع و کسب‌وکارهای مختلف را ارائه می‌دهد.

وضعیت سطح حمله سازمان‌ها تا چه اندازه نگران‌کننده است؟

یافته‌های این پژوهش نشان می‌دهد بخش قابل‌توجهی از سطح حمله سازمان‌ها را دارایی‌ها و سرویس‌هایی تشکیل می‌دهند که اساساً نباید از طریق اینترنت در دسترس باشند؛ موضوعی که می‌تواند فرصت‌های متعددی را برای شناسایی و سوءاستفاده مهاجمان فراهم کند.

  • 60 درصد از سازمان‌ها حداقل یک پنل HTTP در معرض اینترنت داشتند؛ از کنسول‌های مدیریتی و رابط‌های مدیریت گرفته تا صفحات ورود سامانه‌های داخلی که قرار نبوده به‌صورت عمومی قابل دسترس باشند.
  • 49 درصد از سازمان‌ها حداقل یک پورت یا سرویس پرریسک را در دسترس اینترنت قرار داده بودند.
  • 42 درصد دارای پایگاه داده‌ای بودند که به‌طور مستقیم از اینترنت قابل دسترسی بود.
  • 30 درصد نیز فایل‌ها یا اطلاعاتی را به‌صورت عمومی منتشر کرده بودند که نباید قابل مشاهده باشند؛ از مستندات API و فایل‌های پیکربندی گرفته تا داده‌هایی که اساساً برای دسترسی عمومی در نظر گرفته نشده بودند.

10 از مورد پرتکرارترین نقاط ضعف در سطح حمله

بررسی‌های انجام‌شده نشان می‌دهد موارد زیر، رایج‌ترین دارایی‌ها و سرویس‌های قرارگرفته در معرض اینترنت بوده‌اند که طی 12 ماه گذشته در سطح حمله سازمان‌ها مشاهده شده‌اند:

  1. پایگاه داده MySQL در 26 درصد از سازمان‌های مورد بررسی به‌صورت مستقیم از اینترنت قابل دسترس بوده است.
  2. پایگاه داده PostgreSQL در 16 درصد از سازمان‌ها در معرض دسترسی عمومی قرار داشته است.
  3. مستندات API در 15 درصد از سازمان‌ها بدون محدودیت مناسب در دسترس کاربران اینترنت بوده‌اند.
  4. پنل مدیریت وردپرس (WordPress Admin Panel) در 15 درصد از سازمان‌ها از طریق اینترنت قابل دسترسی بوده است.
  5. سرویس دسترسی از راه دور (RDP) در 11 درصد از سازمان‌ها در معرض اینترنت قرار داشته است.
  6. سرویس SNMP در 9 درصد از سازمان‌های بررسی‌شده به‌صورت عمومی قابل دسترس بوده است.
  7. پنل مدیریتی phpMyAdmin در 8 درصد از سازمان‌ها در معرض اینترنت قرار داشته است.
  8. سرویس UPnP نیز در 8 درصد از سازمان‌ها به‌صورت عمومی قابل دسترس بوده است.
  9. سرویس NTP در 7 درصد از سازمان‌ها از طریق اینترنت در دسترس قرار داشته است.
  10. سرویس RPC Portmapper نیز در 7 درصد از سازمان‌های مورد بررسی در معرض اینترنت قرار داشته است.

پایگاه‌های داده در صدر فهرست قرار دارند

در میان رایج‌ترین دارایی‌های شناسایی‌شده در سطح حمله سازمان‌ها، پایگاه‌های داده‌ای که به‌صورت مستقیم از اینترنت قابل دسترس هستند، دو رتبه نخست این فهرست را به خود اختصاص داده‌اند. بر اساس یافته‌های این گزارش، بیش از یک‌چهارم سازمان‌ها پایگاه داده MySQL خود را در معرض اینترنت قرار داده‌اند. همچنین حدود یک‌ششم سازمان‌های بررسی‌شده نیز پایگاه داده PostgreSQL آن‌ها به‌صورت عمومی و بدون محدودیت دسترسی از طریق اینترنت قابل مشاهده بوده است.

پایگاه‌های داده اینترنتی سال‌هاست که یکی از اهداف اصلی مهاجمان فرصت‌طلب محسوب می‌شوند. برای مثال، کمپین باج‌افزاری PLEASE_READ_ME در سال 2020 با سوءاستفاده از رمزهای عبور ضعیف و اجرای حملات بروت فورس بیش از 250 هزار پایگاه داده MySQL را آلوده کرد.

پایگاه‌های داده MongoDB و Elasticsearch نیز در سال‌های گذشته بارها هدف حملات مشابه قرار گرفته‌اند؛ حملاتی که عمدتاً به دلیل قرار گرفتن این سرویس‌ها در معرض اینترنت و ضعف در تنظیمات امنیتی یا کنترل‌های احراز هویت امکان‌پذیر شده‌اند.

مستندات API بیشتر از RDP در معرض ریسک قرار دارند

مستندات API در این گزارش جایگاه سوم را به خود اختصاص داده و نکته قابل توجه این است که این جایگاه، بالاتر از سرویس RDP قرار گرفته است؛ موضوعی که تا حدی برای پژوهشگران غیرمنتظره بود. هرچند برخی از این مستندات به‌صورت عمدی و برای استفاده توسعه‌دهندگان منتشر می‌شوند، اما در بسیاری از موارد، مستندات مربوط به APIهای داخلی یا مدیریتی  به‌اشتباه در معرض دسترسی عمومی قرار می‌گیرند.

در چنین شرایطی، اضافه شدن این داده‌ها به سطح حمله می‌تواند به‌طور مستقیم منجر به افشای اطلاعات ساختاری سیستم‌ها شود و مسیرهایی را که معمولاً شناسایی آن‌ها دشوار است، به نقشه‌ای قابل استفاده برای مهاجمان تبدیل کند.

RDP همچنان یکی از نقاط ورود اصلی باج‌افزارها است

قرار گرفتن RDP در رتبه پنجم، با توجه به سابقه آن به عنوان یک بردار دسترسی اولیه در حملات باج‌افزاری، نگران‌کننده است. آسیب‌پذیری BlueKeep در سال 2019 تقریباً یک میلیون سیستم را بلافاصله در معرض سوءاستفاده قرار داد.

امروزه نیز، حدس رمز عبور و حملات بورت ‌فورس علیه RDPهای در معرض اینترنت، همچنان یکی از قابل‌اعتمادترین روش‌هایی است که اپراتورهای باج‌افزار برای نفوذ اولیه به شبکه‌های سازمانی از آن استفاده می‌کنند.

سایر موارد این فهرست برای اینترنت طراحی نشده‌اند

مابقی فهرست شامل سرویس‌هایی مانند SNMP، UPnP، NTP و RPC است. این پروتکل‌ها و سرویس‌هاکه در اصل برای محیط‌های داخلی شبکه‌ها توسعه یافته بودند، به اشتباه در دسترس عموم قرار گرفته‌اند؛ در حالی که هرگز نباید از محیط امن شبکه داخلی خارج می‌شدند.

جمع‌بندی

در بسیاری از سازمان‌ها، تمرکز اصلی همچنان روی اعمال پچ‌های امنیتی قرار دارد، اما در مورد بخش قابل‌توجهی از موارد این فهرست از پایگاه‌های داده و پنل‌های مدیریتی گرفته تا سرویس‌های قدیمی پرسش اساسی‌تر این است که چرا اساساً این سرویس‌ها از ابتدا در دسترس اینترنت قرار گرفته‌اند.

اینجاست که مفهوم کاهش سطح حمله (Attack Surface Reduction) اهمیت پیدا می‌کند؛ رویکردی که با حذف یا محدودسازی دارایی‌های غیرضروری در معرض اینترنت، ریسک حمله را به‌طور قابل توجهی کاهش می‌دهد، اما در بسیاری از سازمان‌ها هنوز به اندازه مدیریت آسیب‌پذیری‌ها مورد توجه قرار نمی‌گیرد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید