تازه ها

تجارت الکترونیک

فناوری اطلاعات

April 26, 2022
16:21 سه شنبه، 6ام اردیبهشتماه 1401
کد خبر: 135390

استارت‌آپ «راسپینا نت پارس» آسیب‌پذیری Teampass را کشف کرد

 
یکی از استارت‌آپ‌های ایرانی فعال در حوزه امنیت سایبری اعلام کرد به تازگی آسیب‌پذیری جدی در نرم‌افزار مدیریت پسورد بین‌المللی «Teampass» را یافته و با گزارش آن به شرکت سازنده، این آسیب‌پذیری رفع شده است.
 
استارت‌آپ «راسپینا نت پارس» که در حوزه امنیت سایبری فعالیت می‌کند، در زمان اجرای یکی از پروژه‌های تست نفوذ، موفق به کشف یک آسیب‌پذیری بین‌المللی در نرم‌افزار Teampass شد؛ ابزاری برای مدیریت انواع گذرواژه که بعضی شرکت‌های ایرانی نیز از آن استفاده می‌کنند.
 
محمدرضا مستمع، مدیرعامل راسپینا نت پارس، در همین باره توضیح داد: پس از انجام تست نفوذ برای یک مشتری ایرانی و بعضی سرویس‌هایی که این مشتری از آنها استفاده می‌کرد، به آسیب‌پذیری جدی در نرم‌افزار Teampass برخورد کردیم. این آسیب‌پذیری از نوع XSS بود که به‌ وسیله آن نفوذگر می‌تواند کد جاوا اسکریپت خود را روی مرورگر قربانی اجرا کند. در واقع با استفاده از این آسیب‌پذیری، هکر می‌تواند به روشن کردن وب‌کم کاربر یا حتی داده‌هایی مانند کوکی‌های مرورگر کاربر دسترسی یابد تا به‌ جای قربانی روی نرم‌افزار Teampass لاگین شود و به تمامی رمز عبورهای ذخیره‌شده در این نرم‌افزار دسترسی پیدا کند. دست یافتن به چنین سطحی از آسیب‌پذیری برای یک هکر به معنای زدن صد نشان با یک تیر است. ما به تازگی، پس از کشف این ضعف، آن را به Teampass گزارش دادیم تا مشکل را برطرف کنند. این ضعف اکنون در این نرم‌افزار فرانسوی برطرف شده است.
 
به گفته مدیرعامل  راسپینا نت پارس، این آسیب‌پذیری در مرجع بین‌المللی Mitre با شماره CVE-2022-26980 ثبت شده است. همچنین کد سوءاستفاده از این آسیب‌پذیری در گیت‌هاب راسپینا نت پارس نیز قرار داده شده است.
 
نکته مهم اینکه موسسه ملی استاندارد و تکنولوژی ایالات متحده (NIST) نیز میزان ریسک امنیتی همین آسیب‌پذیری را ۶.۱ از ۱۰ اعلام کرده که در سطح متوسط است.
 
در واقع دستیابی به پسورد، اولین بخشی است که هدف حمله هکرها قرار می‌گیرد؛ به‌ویژه در سازمان‌های بزرگ که دسترسی به پسوردها به معنای دستیابی به تمامی اطلاعات است. از آنجا که برخی سازمان‌ها و شرکت‌های ایرانی از نرم‌افزار Teampass استفاده می‌کردند خطری بزرگ و بالقوه آنها را تهدید می‌کرد.
 
راسپینا نت پارس استارت‌آپی دانش‌بنیان و فعال در زمینه امنیت اطلاعات است که از سال ۱۳۹۶ به‌ صورت جدی وارد بازار شد و تاکنون دو آسیب‌پذیری بین‌المللی را کشف و ثبت کرده است. این شرکت آسیب‌پذیری اول را با کد CVE-2019-18859 در دی‌ماه سال ۹۸ ثبت کرد. راسپینا نت پارس در زمینه تست نفوذ نرم‌افزارهای تحت وب و تست نفوذ نرم‌افزارهای ویندوز و تلفن همراه و همچنین تست نفوذ شبکه و زیرساخت فعالیت می‌کند.
در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.