رخنه خطرناک در قلب سیستم‌های نظارتی جهان؛ هک بدون نیاز به رمز عبور در ابزار محبوب «اسپلانک»

۱. اسپلانک (Splunk) چیست و چرا این باگ یک بحران بزرگ است؟

برای اینکه اهمیت داستان را درک کنیم، باید بدانیم اسپلانک دقیقاً چه کاری انجام می‌دهد. اسپلانک مانند «جعبه سیاه» یا نگهبان ارشد دیتاسنترهاست؛ تمام گزارش‌ها، ترافیک شبکه و رفتارهای مشکوک در یک سازمان بزرگ به این نرم‌افزار فرستاده می‌شود تا بررسی شوند. حالا فرض کنید خودِ این نگهبان ارشد، پنجره اتاقش را برای دزدها باز گذاشته باشد!

این آسیب‌پذیری جدید که با شناسه اختصاصی CVE-2026-20253  ردیابی شده، به هکر اجازه می‌دهد از راه دور و بدون نیاز به احراز هویت، فایل‌های حیاتی سیستم را تغییر داده یا کدهای دلخواه خود را تزریق کند.

۲. زنجیره حمله چطور کار می‌کند؟

محققان امنیتی فرآیند این هک را شبیه‌سازی کرده‌اند. همه‌چیز از یک پایگاه داده کمکی به نام «پستگرس» (PostgreSQL)  در داخل اسپلانک شروع می‌شود که طراحان فراموش کرده بودند برای بخش پشتیبان‌گیری و بازیابی آن، سیستم تایید هویت و رمز عبور بگذارند!

سناریوی نفوذ هکرها به این صورت است:

1. ساخت دیتابیس آلوده: هکر ابتدا در سیستم خودش یک پایگاه داده طراحی می‌کند که حاوی دستورات مخرب است.
2. ارسال فایل بدون اجازه: هکر با استفاده از بخش پشتیبان‌گیری بدون رمز اسپلانک، این فایل آلوده را روی سرور قربانی می‌فرستد.
3. فریب دادن سیستم: در مرحله بازیابی، سرور اسپلانک تصور می‌کند این یک فایل پشتیبان معمولی است، آن را باز کرده و دستورات هکر را اجرا می‌کند.
4. تزریق کدهای مخرب به پایتون: هکر با این روش، یکی از اسکریپت‌های پایتون داخلی و پرکاربرد اسپلانک (که سیستم به طور مداوم آن را اجرا می‌کند) را بازنویسی کرده و کدهای جاسوسی خود را در آن جاسازی می‌کند. از این لحظه به بعد، کنترل سرور کاملاً در دست هکر است!
   
   

۳. چه کسانی در خطر هستند و راهکار چیست؟

بررسی‌های اتاق تحلیل امنیت ۲۴ نیوز نشان می‌دهد که این تهدید، نسخه‌های خاصی از شبکه را هدف قرار داده است:

• سازمان‌های بزرگ و بانک‌ها در تیررس اول: این باگ نسخه نرم‌افزاری درون‌سازمانی (Splunk Enterprise)  را تهدید می‌کند که معمولاً در سازمان‌های بزرگ دولتی، زیرساختی و بانک‌ها نصب می‌شود. اما خوشبختانه نسخه ابری (Splunk Cloud) از این خطر در امان است چون اصلاً از این پایگاه داده کمکی استفاده نمی‌کند.
• مسابقه ثانیه‌ها میان هکرها و مدیران شبکه: اگرچه هنوز شواهدی از بکارگیری این باگ توسط هکرهای کلاه‌سیاه در دنیای واقعی گزارش نشده، اما به دلیل اینکه جزئیات و کدهای فنی این روش هک به صورت عمومی منتشر شده است، گروه‌های باج‌افزاری به سرعت شروع به اسکن شبکه‌های جهانی برای پیدا کردن سرورهای آپدیت‌نشده خواهند کرد.
• اقدام فوری: اسپلانک فوراً بسته‌های اصلاحی را ارائه داده است. مدیران فناوری باید سریعاً سیستم‌های خود را به نسخه‌های ایمن (مانند ۱۰.۰.۷ یا ۱۰.۲.۴) ارتقا دهند تا جلوی این بردار نفوذ خطرناک گرفته شود.
  
  

تحلیل و روان‌سازی تخصصی: اتاق تحلیل امنیت فناوری ۲۴ نیوز (بهراد یوسفی)