Project Zero: سال 2021 رکورد دار کشف بیشترین آسیب پذیری Zero-Day

تیم امنیتی گوگل Project Zero در گزارش جدید خود، سال 2021 را سالی رکورد‌‎شکن برای آسیب‌پذیری های Zero-Day نامید و اذعان کرد که در سال گذشته‌ی میلادی 58 آسیب‌پذیری امنیتی اینچنینی کشف و شناسایی شده‌اند. این رکورد دو برابر میزان آسیب‌پذیری است که در سال 2020 شناسایی شد و رکورد قبلی نیز برای کشف بیشترین نقص امنیتی مربوط به سال 2015 با 28 آسیپ پذیری روز صفر است.

آسیب‌پذیری Zero-Day به باگ فنی در یک نرم‌افزار گفته می‌شود که تازه کشف شده و تولیدکننده‌ی آن صفر روز برای برطرف کردن آن زمان داشته. این نوع آسیب‌پذیری‌ها به دلیل اینکه توسعه‌دهنده زمانی کافی برای رفع مشکل را نداشته خطر حمله سایبری را افزایش می‌دهند و حتی احتمال کشف شدن آن‌ها توسط هکر‌ها قبل از محققین امنیتی وجود دارد.

گزارش 2021 تیم گوگل Project Zero روش نفوذ NSO Group را یک اثر هنری چشمگیر نامید

Maddie Stone یکی از محققان پراجکت زیرو اذعان کرد که آمار افزایش یافته صرفا در ارتباط با شناسایی و کشف این آسیب‌پذیری‌ها بوده نه سوءاستفاده از آن‌ها توسط هکر‌ها برای حمله‌ی سایبری. تیم امنیت داخلی غول فناوری گوگل این اکسپلویت‌ها را مشابه با آسیب‌پذیری های قبلی و عمومی شده توصیف کرد و تنها دو مورد از آن‌ها را از نظر پیچیدگی فنی قابل توجه ارزیابی کرد.

هر دوی این اکسپلویت‌های پیچیده مربوط به FORCEDENTRY یک Zero-Click برای iMessage است که توسط شرکت اسرائیلی NSO Group توسعه یافته و تیم زیرو پراجکت گوگل در توصیف این روش آن را یک “اثر هنری چشمگیر” نامید! کلیک صفر یعنی کاربر بدون لمس و کلیک کردن بر روی چیزی گوشی همراه‌اش به بدافزار آلوده می‌شود!

Chromium و ویندوز به ترتیب با 14 و 10 آسیب پذیری کشف شده پیشتاز بودند

تفکیک این آسیب‌پذیری های روز صفر نشان می‌دهد که بیشترین آن‌ها مربوط به Chromium (14)، ویندوز (10) و اندروید با هفت مورد بوده است. مرورگر سافاری اپل با هفت آسیب‌پذیری Zero-Day، مایکروسافت Exchange Server و مک OS و IOS هر کدام با 5 نقص امنیتی روز صفر در رتبه‌های بعدی قرار دارند.

گوگل Project Zero به فقدان نمونه‌های عمومی و استفاده شده از این آسیب‌پذیری ها در سرویس‌های پیام‌رسان مانند واتس اپ، سیگنال، تلگرام و حتی محیط‌های ابری اشاره کرد و گفت این منجر به سوال می‌شود که آیا این آسیب‌پذیری ها اصلا توسط هکرهایی با اهداف مخرب کشف می‌شوند یا خیر و اگر جواب آری است، آیا آن‌ها از این روش‌ها سوءاستفاده کرده‌اند؟ آیا کمپانی‌ها نفوذ به سیستم‌های خود را شناسایی و اعلام می‌کنند؟

سوءاستفاده از این نوع Vulnerability به دلیل اینکه هنوز شناسایی و کشف نشده‌اند سخت است زیرا هیچ منبع کمکی در اینترنت برای هکر در دسترس نیست و تیم نفوذگر باید خودش از صفر شروع کند و ابزار و روش مورد نیاز خود را توسعه دهد. همین مورد نیز استفاده از این آسیب‌پذیری های Zero-Day را توسط هکر‌های حرفه‌ای و بعضا دولتی بیشتر مرسوم کرده است.

• افزایش پذیرش و محبوبیت مدل جدید امنیت ابری security-as-code
• جزئیات مایکروسافت در رابطه با آپدیت های امنیتی جدید ویندوز 11
• گوگل: هکر های دولتی چین دولت اوکراین را هدف حمله قرار داده‌اند
• برطرف کردن آسیب پذیری type confusion کروم با آپدیت فوری