نفوذهای سایبری همیشه از یک آسیبپذیری روز صفر (Zero-Day) آغاز نمیشوند. گاهی یک پنل مدیریتی که بهاشتباه در اینترنت در دسترس قرار گرفته، هدف حملات بروت فورس (Brute Force) قرار میگیرد یا مهاجمان از اعتبارنامههای سرقتشده در حملات قبلی برای نفوذ استفاده میکنند.
با این حال، زمانی که یک آسیبپذیری جدید منتشر میشود، شرایط میتواند بهسرعت بحرانی شود. برای مثال، آسیبپذیری MongoBleed که اوایل سال جاری افشا شد، به مهاجمان اجازه میداد بدون نیاز به احراز هویت، اطلاعات حساسی مانند اعتبارنامهها و توکنهای نشست را مستقیماً از حافظه سرور استخراج کنند. در چنین شرایطی، هر سرویسی که از طریق اینترنت قابل دسترس باشد، به یک نقطه بالقوه برای نفوذ و سوءاستفاده تبدیل میشود.
امروزه فاصله زمانی میان انتشار یک آسیبپذیری و توسعه اکسپلویت به حدود یک روز کاهش یافته است. بنابراین پرسش اصلی دیگر تنها این نیست که سازمانها با چه سرعتی پچهای امنیتی را نصب میکنند؛ بلکه این است که چرا آن سرویس از ابتدا در دسترس عموم قرار داشته است.
پژوهشگران شرکت Intruder برای پاسخ به این سؤال، سطح حمله (Attack Surface) مربوط به 3 هزار سازمان را بررسی کردند تا مشخص کنند چه میزان از داراییهای قابل دسترس از اینترنت را سرویسها و سامانههایی تشکیل میدهند که اساساً نباید در معرض دسترسی عمومی قرار داشته باشند. بخش قابلتوجهی از سطح حمله این سازمانها از سرویسها، پایگاههای داده، پنلهای مدیریتی و اطلاعاتی تشکیل شده است. یافتههای این پژوهش که در قالب گزارش شاخص مدیریت سطح حمله 2026 منتشر شده، تصویری جامع از رایجترین نقاط مواجهه سازمانها با تهدیدات اینترنتی در صنایع و کسبوکارهای مختلف را ارائه میدهد.
وضعیت سطح حمله سازمانها تا چه اندازه نگرانکننده است؟
یافتههای این پژوهش نشان میدهد بخش قابلتوجهی از سطح حمله سازمانها را داراییها و سرویسهایی تشکیل میدهند که اساساً نباید از طریق اینترنت در دسترس باشند؛ موضوعی که میتواند فرصتهای متعددی را برای شناسایی و سوءاستفاده مهاجمان فراهم کند.
- 60 درصد از سازمانها حداقل یک پنل HTTP در معرض اینترنت داشتند؛ از کنسولهای مدیریتی و رابطهای مدیریت گرفته تا صفحات ورود سامانههای داخلی که قرار نبوده بهصورت عمومی قابل دسترس باشند.
- 49 درصد از سازمانها حداقل یک پورت یا سرویس پرریسک را در دسترس اینترنت قرار داده بودند.
- 42 درصد دارای پایگاه دادهای بودند که بهطور مستقیم از اینترنت قابل دسترسی بود.
- 30 درصد نیز فایلها یا اطلاعاتی را بهصورت عمومی منتشر کرده بودند که نباید قابل مشاهده باشند؛ از مستندات API و فایلهای پیکربندی گرفته تا دادههایی که اساساً برای دسترسی عمومی در نظر گرفته نشده بودند.
10 از مورد پرتکرارترین نقاط ضعف در سطح حمله
بررسیهای انجامشده نشان میدهد موارد زیر، رایجترین داراییها و سرویسهای قرارگرفته در معرض اینترنت بودهاند که طی 12 ماه گذشته در سطح حمله سازمانها مشاهده شدهاند:
- پایگاه داده MySQL در 26 درصد از سازمانهای مورد بررسی بهصورت مستقیم از اینترنت قابل دسترس بوده است.
- پایگاه داده PostgreSQL در 16 درصد از سازمانها در معرض دسترسی عمومی قرار داشته است.
- مستندات API در 15 درصد از سازمانها بدون محدودیت مناسب در دسترس کاربران اینترنت بودهاند.
- پنل مدیریت وردپرس (WordPress Admin Panel) در 15 درصد از سازمانها از طریق اینترنت قابل دسترسی بوده است.
- سرویس دسترسی از راه دور (RDP) در 11 درصد از سازمانها در معرض اینترنت قرار داشته است.
- سرویس SNMP در 9 درصد از سازمانهای بررسیشده بهصورت عمومی قابل دسترس بوده است.
- پنل مدیریتی phpMyAdmin در 8 درصد از سازمانها در معرض اینترنت قرار داشته است.
- سرویس UPnP نیز در 8 درصد از سازمانها بهصورت عمومی قابل دسترس بوده است.
- سرویس NTP در 7 درصد از سازمانها از طریق اینترنت در دسترس قرار داشته است.
- سرویس RPC Portmapper نیز در 7 درصد از سازمانهای مورد بررسی در معرض اینترنت قرار داشته است.
پایگاههای داده در صدر فهرست قرار دارند
در میان رایجترین داراییهای شناساییشده در سطح حمله سازمانها، پایگاههای دادهای که بهصورت مستقیم از اینترنت قابل دسترس هستند، دو رتبه نخست این فهرست را به خود اختصاص دادهاند. بر اساس یافتههای این گزارش، بیش از یکچهارم سازمانها پایگاه داده MySQL خود را در معرض اینترنت قرار دادهاند. همچنین حدود یکششم سازمانهای بررسیشده نیز پایگاه داده PostgreSQL آنها بهصورت عمومی و بدون محدودیت دسترسی از طریق اینترنت قابل مشاهده بوده است.
پایگاههای داده اینترنتی سالهاست که یکی از اهداف اصلی مهاجمان فرصتطلب محسوب میشوند. برای مثال، کمپین باجافزاری PLEASE_READ_ME در سال 2020 با سوءاستفاده از رمزهای عبور ضعیف و اجرای حملات بروت فورس بیش از 250 هزار پایگاه داده MySQL را آلوده کرد.
پایگاههای داده MongoDB و Elasticsearch نیز در سالهای گذشته بارها هدف حملات مشابه قرار گرفتهاند؛ حملاتی که عمدتاً به دلیل قرار گرفتن این سرویسها در معرض اینترنت و ضعف در تنظیمات امنیتی یا کنترلهای احراز هویت امکانپذیر شدهاند.
مستندات API بیشتر از RDP در معرض ریسک قرار دارند
مستندات API در این گزارش جایگاه سوم را به خود اختصاص داده و نکته قابل توجه این است که این جایگاه، بالاتر از سرویس RDP قرار گرفته است؛ موضوعی که تا حدی برای پژوهشگران غیرمنتظره بود. هرچند برخی از این مستندات بهصورت عمدی و برای استفاده توسعهدهندگان منتشر میشوند، اما در بسیاری از موارد، مستندات مربوط به APIهای داخلی یا مدیریتی بهاشتباه در معرض دسترسی عمومی قرار میگیرند.
در چنین شرایطی، اضافه شدن این دادهها به سطح حمله میتواند بهطور مستقیم منجر به افشای اطلاعات ساختاری سیستمها شود و مسیرهایی را که معمولاً شناسایی آنها دشوار است، به نقشهای قابل استفاده برای مهاجمان تبدیل کند.
RDP همچنان یکی از نقاط ورود اصلی باجافزارها است
قرار گرفتن RDP در رتبه پنجم، با توجه به سابقه آن به عنوان یک بردار دسترسی اولیه در حملات باجافزاری، نگرانکننده است. آسیبپذیری BlueKeep در سال 2019 تقریباً یک میلیون سیستم را بلافاصله در معرض سوءاستفاده قرار داد.
امروزه نیز، حدس رمز عبور و حملات بورت فورس علیه RDPهای در معرض اینترنت، همچنان یکی از قابلاعتمادترین روشهایی است که اپراتورهای باجافزار برای نفوذ اولیه به شبکههای سازمانی از آن استفاده میکنند.
سایر موارد این فهرست برای اینترنت طراحی نشدهاند
مابقی فهرست شامل سرویسهایی مانند SNMP، UPnP، NTP و RPC است. این پروتکلها و سرویسهاکه در اصل برای محیطهای داخلی شبکهها توسعه یافته بودند، به اشتباه در دسترس عموم قرار گرفتهاند؛ در حالی که هرگز نباید از محیط امن شبکه داخلی خارج میشدند.
جمعبندی
در بسیاری از سازمانها، تمرکز اصلی همچنان روی اعمال پچهای امنیتی قرار دارد، اما در مورد بخش قابلتوجهی از موارد این فهرست از پایگاههای داده و پنلهای مدیریتی گرفته تا سرویسهای قدیمی پرسش اساسیتر این است که چرا اساساً این سرویسها از ابتدا در دسترس اینترنت قرار گرفتهاند.
اینجاست که مفهوم کاهش سطح حمله (Attack Surface Reduction) اهمیت پیدا میکند؛ رویکردی که با حذف یا محدودسازی داراییهای غیرضروری در معرض اینترنت، ریسک حمله را بهطور قابل توجهی کاهش میدهد، اما در بسیاری از سازمانها هنوز به اندازه مدیریت آسیبپذیریها مورد توجه قرار نمیگیرد.