کمیته رکن چهارم – یک نقص امنیتی حیاتی در نرمافزار اشتراک فایل متنباز «ProjectSend» که بهطور گسترده مورد استفاده قرار میگیرد، نگرانیهای جدی در خصوص امنیت سایبری به همراه داشته است.
به گزارش کمیته رکن چهارم، این آسیبپذیری که در بهار ۲۰۲۳ شناسایی و اصلاح شد، به دلیل تأخیر در انتشار نسخه رسمی نرمافزار تا تابستان ۲۰۲۴، امکان سوءاستفاده مهاجمان را فراهم کرد.
مشکل اصلی، نبود بررسی کافی مجوزها بود که به مهاجمان اجازه تغییر تنظیمات حساس سرورها را میداد. سوءاستفاده از این نقص امنیتی، مهاجمان را قادر میسازد تا تنظیمات سرور را تغییر داده و ویژگیهایی نظیر ثبتنام کاربران و اعتبارسنجی خودکار را فعال کنند.
طبق مشاهدات «VulnCheck»، مهاجمان ناشناس با استفاده از کدهای اکسپلویت منتشرشده توسط «Project Discovery» و «Rapid7»، از سپتامبر ۲۰۲۴ حملاتی را علیه سرورهای عمومی «ProjectSend» آغاز کردهاند. این حملات شامل نصب شلهای وب یا جاسازی کدهای مخرب جاوااسکریپت در مسیرهایی مانند «آپلود فایل» میشود. بررسیها نشان میدهد تنها ۱% از سرورهای متصل به اینترنت بهروزرسانیهای لازم را دریافت کردهاند.
این حادثه بار دیگر اهمیت مدیریت منظم بهروزرسانیها و اعمال وصلههای امنیتی را در کاهش تهدیدات سایبری برجسته میکند. کاربران این نرمافزار به اجرای سریع نسخههای بهروز توصیه میشوند تا از نفوذهای مخرب احتمالی جلوگیری کنند.
