در هفته اخیر، چندین آسیبپذیری High و Critical گزارش و بعضاً بهصورت Active Exploitation در دنیای واقعی استفاده شدهاند. نکته ی مهم اینجاست که برخلاف تصور رایج، بخش قابلتوجهی از این تهدیدات کاملاً برای زیرساختهای داخل ایران خطرناک هستند. چون وابسته به اینترنت آزاد نیستند و اغلب از مسیر ایمیل، دسترسی داخلی، VPN یا سرویسهای exposed سوءاستفاده میشوند.
آسیبپذیری SolarWinds Web Help Desk در شبکه (CVE-2025-40551)
چرا این آسیب پذیری در ایران اهمیت دارد؟
SolarWinds Web Help Desk در خیلی از سازمانها بهعنوان سیستم تیکتینگ داخلی، مدیریت داراییهای IT وHelpdesk شبکه استفاده میشود و معمولاً روی سرور داخلی، با دسترسی Web و گاهی بدون محدودسازی IP نصب شده است.
این آسیبپذیری از نوع Remote Code Execution بدون احراز هویت مؤثر است و در حملات واقعی استفاده شده. یعنی مهاجم بعد از دسترسی:
Web Shell ✔میگذارد
Credential Dump ✔میکند
✔و pivot میزند داخل شبکه
راهکار عملی برای تیم امنیت
فوری:
Patch ✔ رسمی SolarWinds را اعمال کنید
✔اگر Patch ممکن نیست دسترسی Web را فقط به IPهای داخلی محدود کنید و سرویس را پشت Reverse Proxy با Authentication اضافه قرار دهید
راهکار تشخیص :
✔مانیتور لاگهای Web Help Desk برای درخواستهای غیرعادی POST و فایلهای JSP/PHP جدید
✔در EDR دنبال اجرای PowerShell / cmd از process وبسرور باشید.
آسیبپذیری VMware ESXi و سناریوهای حمله در دیتاسنترها (CVE-2025-22225)
چرا این آسیب پذیری حائز اهمیت است؟
VMware ESXi یکی از ستون فقرات دیتاسنترهای ایران است و در شرکتها، بانکها، دانشگاهها و ISPها استفاده می شود.
این آسیبپذیری به مهاجم اجازه میدهد:
✔از Guest VM خارج شود
✔به Hypervisor دسترسی بگیرد
✔کل VMها را Encrypt یا Destroy کند
و نکته ی خطرناکتر این است که در حملات اخیر، مهاجمان بعد از compromise اولیه (مثلاً VPN یا ایمیل) مستقیم سراغ ESXi میروند.
راهکار عملی
Hardening فوری:
Patch ESXi ✔ به آخرین Build
✔غیرفعالسازی SSHو ESXi Shell
✔محدودسازی Management Interface فقط به VLAN مدیریتی
Monitoring :
- لاگهای /var/log/hostd.log و vpxa.log
- Alert روی:
Snapshot ✔های ناگهانی
✔خاموش شدن همزمان چند VM
✔تغییرات غیرعادی در datastore
و بکاپ آفلاین (Immutable Backup) نه فقط NAS
آسیبپذیری SmarterMail و خطر نفوذ از طریق ایمیل
در حال حاضرSmarterMail در برخی سازمانها بهدلیل هزینه کمتر، سادگی راهاندازی و Self-hosted بودن بهعنوان Mail Server استفاده میشود. این آسیبپذیری به مهاجم اجازه میدهد:
✔بدون لاگین وارد شود
✔دسترسی مدیریتی بگیرد
✔از ایمیل بهعنوان Initial Access برای حمله داخلی استفاده کند
راهکار عملی
فوری:
Update ✔ فوری SmarterMail
✔تغییر تمام Credentialهای Admin و Service
Mail Security :
✔بررسی لاگهای SMTP/IMAP برای Loginهای غیرعادی و ساخت اکانتهای جدید
✔فعالسازی MFA برای پنل مدیریتی
نکته برای تیم SOC:
اگر EDR دارید، دنبال execution از مسیر mail service باشید.
آسیبپذیری Zero-Day در Microsoft Office
چرا این آسیب پذیری هنوز خطرناک است؟
در ایران ماکروها هنوز فعالاند، فایلها از طریق ایمیل، واتساپ، تلگرام ردوبدل میشوند و آگاهی کاربر پایین است
این Zero-Day از طریقDOC / XLS / RTF و بدون نیاز به Enable Macro واضح باعث اجرای کد میشود.
راهکار عملی
راهکار جلوگیری :
- Block کردن فایلهای Office از Internet Zone
- غیرفعالسازی اجرای Child Process توسط Office
راهکار تشخیصی:
- Alert روی:
winword.exe → powershell.exe ✔
excel.exe → cmd.exe ✔
و برای user ها آموزش خیلی کوتاه ولی هدفمند این که فایل Office از بیرون را مشکوک در نظر بگیرند.
جمعبندی فنی: الگوی مشترک حملات سایبری این هفته
اگر بخواهیم حملات این هفته را خلاصه کنیم:
❗ مهاجم اول وارد میشود، بعد دنبال کنترل زیرساخت میگردد، نه صرفاً یک سیستم.
الگو:
- Initial Access (Office / Mail / Web App)
- Privilege Escalation
- Target اصلی:
ESXi ✔
Mail Server ✔
Management Tools ✔
چکلیست نهایی مخصوص تیمهای امنیت ایران
✔ Patch سیستمهای مدیریتی (نه فقط کلاینتها)
✔ محدودسازی دسترسی Web به ابزارهای IT
✔ مانیتور رفتار، نه فقط Signature
✔ بکاپ آفلاین واقعی
✔ تمرکز SOC روی Lateral Movemen
