در تاریخ ۱۴۰۴/۰۷/۳۰، رخدادی مبنی‌بر نشت اطلاعات دانشجویان آکادمی راوین، به تیم پاسخ به رخداد آکادمی راوین ارجاع داده شد. در ساعات ابتدایی وقوع حادثه، تیم پاسخ به رخداد، اقدام به فرضیه‌سازی در خصوص ابعاد نفوذ کرده و بر‌اساس آن، عملیات پاسخ را آغاز کرده است.

با تطبیق داده‌های نشت‌شده با پایگاه داده‌های حاوی اطلاعات دانشجویان، ابعاد و محدودۀ حمله به سامانۀ آموزش محدود شد. در این گزارش، نتایج بررسی‌های انجام‌شده روی سامانه‌های مرتبط با آموزش شرح داده شده است.

خلاصۀ مدیریتی

در ساعات اولیۀ وقوع رخداد، اقدامات لازم به‌منظور ایزوله‌سازی سامانه‌های عمومی قابل دسترس از اینترنت انجام شد. در ادامه و براساس بررسی‌های انجام‌شده، مشخص شد که سامانه‌های مرتبط با آموزش، توسط یک شرکت پیمانکار، راه‌اندازی و نگهداری می‌شوند. دسترسی‌های مورد نیاز به‌منظور انجام بررسی‌ها در شبکۀ پیمانکار اخذ شده و در همان بررسی‌های اولیه، عدم اعمال سیاست‌های صحیح امنیتی در آن مشاهده شده است. ازجمله موارد مهم مشاهده‌شده، به شرح زیر بوده است:

• اجرایی نشدن فرایند مدیریت وصله: سامانۀ آموزشی مبتنی‌بر نرم‌افزار Moodle با نسخۀ دارای آسیب‌پذیری، به مدت طولانی فعال بوده است. نرم‌افزارهای وابسته، نظیر Apache نیز آسیب‌پذیر بوده و در پایگاه داده‌های عمومی مانند Shodan به‌عنوان تجهیز دارای آسیب‌پذیری شناخته شده است.
• پیکربندی نادرست Firewall: به‌دلیل پیکربندی ناقص Firewall مقابل تجهیز، دسترسی به پورت‌هایی نظیر SSH و FTP محدودیت نداشته و از سطح اینترنت، قابل اتصال بوده است.
• نبود WAF: حین بررسی لاگ‌های درخواست‌های دریافت‌شده در سامانه، تعداد زیادی درخواست حاوی کد مخرب، ازجمله Log4Shell ،Path Traversal و… مشاهده شده است. نتیجۀ بهره‌برداری از این درخواست‌ها، ناموفق بوده است.

با توجه به عدم مشاهدهٔ آثار نفوذ در سطح سیستم‌عامل تجهیز میزبان سامانه، فرض بر آن گرفته شد که بهره‌برداری از یک آسیب‌پذیری مبتنی‌بر وب صورت گرفته است. بررسی‌های انجام‌شده، با دو رویکرد صورت گرفته است؛ رویکرد تهاجمی به‌منظور بررسی امکان بهره‌برداری از آسیب‌پذیری‌ها، و رویکرد دفاعی به‌منظور شناسایی حملۀ اجرا‌شده.

تشریح فنی

در ادامه، جزئیات فنی بررسی‌های صورت‌گرفته و موارد شناسایی‌شده ارائه شده است. در این بخش، ابتدا به بررسی دفاعی و سپس به بررسی تهاجمی پرداخته می‌شود.

بررسی دفاعی

در اولین گام، Snapshot تجهیز تهیه شده و دسترسی اینترنتی سامانه‌های آموزشی قطع شده است.
با بررسی اولیه، اثری از نفوذ در سطح سیستم‌عامل در تجهیز میزبان سامانه‌های آموزشی مشاهده نشده است. با توجه به حجم و نقص‌های موجود در اطلاعات نشت‌شده، فرضیۀ وجود آسیب‌پذیری مبتنی‌بر وب در سامانه‌های آموزشی در نظر گرفته شده است.
براساس این فرضیه، بررسی‌ها با تمرکز بر لاگ‌های وب و اسناد مربوط به نرم‌افزار Moodle که میزبان سامانه‌های آموزشی بوده است، ادامه یافت. در همان مراحل ابتدایی بررسی، یکی از نخستین موارد شناسایی‌شده، تلاش برای بهره‌برداری از آسیب‌پذیری RCE از طریق بارگذاری تصویر پروفایل کاربری مشکوک در اوایل اردیبهشت‌ماه بوده است.

علاوه‌بر مورد فوق، تلاش برای بهره‌برداری از آسیب‌پذیری‌های متعدد دیگر نیز مشاهده شده است که با توجه به پاسخ‌های ارسال‌شده ناموفق بوده است. بنا‌بر تحقیقات تیم هوش تهدیدات آکادمی راوین، اطلاعات احراز هویت کاربر مشکوک قبلاً نشت شده و در Dark Web موجود بوده است.

با توجه به تلاش‌های بهره‌برداری از آسیب‌پذیری‌های مبتنی‌بر وب، آسیب‌پذیری‌های مربوط به نرم‌افزار Moodle جمع‌آوری شده و آسیب‌پذیری CVE-2025-3640 مرتبط با نشت صورت‌گرفته، مشاهده شده است. این آسیب‌پذیری، یک روز پیش از آزمایش‌های کاربر مذکور در وبگاه انجمن Moodle منتشر شده است.

بهره‌برداری از این آسیب‌پذیری، به مهاجم امکان مشاهدۀ اطلاعات دیگر کاربران را با سطح دسترسی دانشجو می‌دهد. این امر، با تغییر شناسۀ کاربر در صفحۀ تنظیمات Profile امکان‌پذیر بوده است. با توجه به نشت اطلاعات کاربر مشکوک، کفایت سطح دسترسی آن برای بهره‌برداری از این آسیب‌پذیری و نزدیکی تاریخ انتشار عمومی اطلاعات آسیب‌پذیری، فرض بر آن گرفته شد که اطلاعات کاربران، از طریق این آسیب‌پذیری نشت کرده است.
جهت تأیید تطابق خروجی بهره‌برداری از این آسیب‌پذیری با اطلاعات نشت‌شده، نتایج بررسی‌های انجام‌شده در اختیار تیم قرمز آکادمی راوین قرار گرفت و درخواست بررسی سامانه صادر شد.

بررسی تهاجمی

با فرض بر نداشتن سطح دسترسی یا اطلاعات سامانه‌ها، ارزیابی امنیتی سامانه‌های آموزشی آغاز شده و تلاش برای نفوذ و مشاهدۀ اطلاعات کاربران صورت گرفته است.
با ارزیابی با سطح دسترسی بدون کاربر، امکان نفوذ و بهره‌برداری از آسیب‌پذیری Moodle کشف نشد. با توجه به شناسایی کاربر مشکوک، به‌عنوان کاربر نشت‌شده توسط تیم هوش تهدیدات آکادمی راوین، ادامۀ بررسی با استفاده از این کاربر صورت گرفت.

جهت مشاهدۀ دوره‌ها، کاربر در سامانۀ lms.ravinacademy.com، با اطلاعات احراز هویت خود ورود می‌کند. در تصویر زیر، ورود موفقیت‌آمیز با استفاده از اطلاعات احراز هویت نشت‌شده در Dark Web قابل مشاهده است.

پس از کلیک روی یکی از دوره‌های آفلاین، به سامانۀ Training.ravinacademy.com هدایت می‌شود.

در سامانۀ Training.ravinacademy.com، بخشی برای مشاهدۀ پروفایل کاربر وجود دارد.

با استفاده از ابزار Burp Suite، پارامترهای قابل تغییر Fuzz‌شده و امکان تعیین id مشاهده شده است. با تعیین آن و اقدام به دریافت پاسخ، صفحۀ پروفایل کاربری دیگر مشاهده می‌شود.

با استفاده از ابزار Intruder در Burp Suite، تمامی شناسه‌ها از ۱ تا ۲۵۰۰ آزمایش شده و پاسخ‌های حاوی اطلاعات کاربر جدا شده است. لیست شناسه‌های دارای پاسخ حاوی اطلاعات، در سندی ذخیره شده و با شمارش تعداد خط آن‌ها امکان مشاهدۀ اطلاعات ۱۱۲۷ کاربر مشخص شده است.

در پاسخ‌های دریافت‌شده، امکان مشاهدۀ نام، نام‌خانوادگی و دوره‌هایی که تمامی کاربران شرکت کرده‌اند، وجود داشته؛ اما امکان مشاهدۀ شمارۀ موبایل تمامی آن‌ها وجود نداشته است. با توجه به وجود این نقص در اطلاعات نشت‌شده و همچنین، تعداد نزدیک خروجی‌ها، بهره‌برداری از همین آسیب‌پذیری توسط مهاجمی دیگر در نظر گرفته شده است.
شایان ذکر است در اطلاعات نشت‌شده، کدملی تعداد کمی از دانشجویان درج شده و ادعا شده است که از پایگاه دادۀ سامانۀ آموزش نشت شده است. در هیچ‌یک از سامانه‌های آموزش آکادمی راوین، کدملی کاربران ثبت نشده و این اطلاعات از دانشجویان دریافت نمی‌شود.

در تصویر فوق، پروفایل یکی از دانشجویانی که کدملی او در اطلاعات نشت‌شده درج شده است، قابل مشاهده است که در آن، نبود کدملی در سامانۀ مذکور مشهود است. در نتیجه، کدملی‌های نشت‌شده، با استفاده از شمارۀ تلفن همراه و انطباق آن با داده‌های نشت‌شده از منابع خارج از سازمان گردآوری شده است.

اقدامات اصلاحی

با توجه به اشکالات امنیتی مشاهده‌شده، اقدامات اصلاحی که پیش از در دسترس قرار گرفتن سامانه‌ها اعمال خواهند شد، به شرح زیر است:

• به‌روزرسانی نرم‌افزار: تمامی نرم‌افزارهای تجهیز که ارتباط مستقیم با کاربران دارد، از‌جمله Moodle و Apache، به‌صورت مداوم، به‌روزرسانی شده و وصله‌های مرتبط، در کمترین فاصلۀ زمانی نصب شود.
• پیکربندی نرخ محدودیت: جهت جلوگیری از امکان بهره‌برداری از آسیب‌پذیری‌های مشابه، نرخ محدودیت برای پردازش درخواست‌های دریافت‌شده از یک کاربر اعمال شده و در صورت مشاهدۀ سوءاستفاده، با کاربر خاطی تماس گرفته شود.
• اعمال سیاست Default Deny: سیاست پیش‌فرض Firewall، بر مسدودسازی تمامی پورت‌ها تنظیم ‌شود و تنها پورت‌های مورد نیاز برای دسترسی عمومی دانشجویان باز بماند. تنها پورت‌های لازم در سامانه‌های بررسی‌شده، ۸۰ و ۴۴۳ است.
• پیاده‌سازی WAF یا IPS: به‌منظور کاهش احتمال موفقیت حملات، تجهیز امنیتی نظیر WAF یا IPS در مقابل تجهیز میزبان سامانه قرار گرفته و از اتصال مستقیم میزبان سامانه به اینترنت پرهیز شود.
• رمز عبور کاربران نشت‌شده در Dark Web تغییر داده شود.
• در صورت امکان، احراز هویت دو‌مرحله‌ای در سامانه پیاده‌سازی شود.
• پیش از اعمال موارد فوق، سامانۀ آموزش lms و training در دسترس عموم قرار نگیرد.