کشف آسیب پذیری ربایش نشست واتساپ ناشی از افشای WebSocket بدون احراز هویت در پل واتساپ Nanobot

آسیب‌پذیری CVE-2026-2577 در مؤلفه WhatsApp bridge نرم‌افزار Nanobot  با شدت 10 به دلیل پیکربندی ناامن سرور WebSocket ایجاد شده است. این سرور به‌طور پیش‌فرض روی همه اینترفیس‌های شبکه (0.0.0.0) اجرا می‌شود و هیچ مکانیزم احراز هویتی برای اتصال‌های ورودی ندارد. در نتیجه، هر مهاجمی که به شبکه دسترسی داشته باشد می‌تواند بدون مجوز به سرور WebSocket متصل شود. پس از اتصال، مهاجم قادر است نشست واتساپ کاربر را در اختیار بگیرد. این موضوع امکان ارسال پیام به نام کاربر، مشاهده پیام‌ها و فایل‌های دریافتی به‌صورت لحظه‌ای، و حتی دریافت کدهای QR احراز هویت را فراهم می‌کند. چنین دسترسی‌ای عملاً کنترل کامل ارتباطات واتساپ را به مهاجم می‌دهد. بهره‌برداری از این ضعف ساده بوده و فقط به دسترسی شبکه نیاز دارد. در صورت سوءاستفاده، حریم خصوصی و امنیت ارتباطات کاربران به‌شدت به خطر می‌افتد.

محصولات تحت‌تأثیر

• مؤلفه WhatsApp Bridge در نرم‌افزار
• Nanobot
• تمامی استقرارهایی که سرور WebSocket به‌صورت پیش‌فرض روی 0.0.0.0:3001 اجرا می‌شود و احراز هویت برای اتصال فعال نیست.
• محیط‌هایی که پل واتساپ از شبکه داخلی یا اینترنت قابل دسترسی مستقیم است.

توصیه‌های امنیتی

• محدودسازی دسترسی شبکه‌ای به پورت 3001 فقط برای میزبان‌های مورد اعتماد (Firewall / ACL).
• فعال‌سازی احراز هویت برای اتصال WebSocket یا استفاده از توکن‌های دسترسی امن.
• Bind کردن سرویس فقط روی localhost یا شبکه داخلی امن به‌جای 0.0.0.0.
• استفاده از Reverse Proxy امن همراه با TLS و کنترل دسترسی.
• جداسازی شبکه (Network Segmentation) برای جلوگیری از دسترسی مستقیم خارجی.
• بازنشانی نشست واتساپ و اسکن فعالیت‌ها در صورت احتمال سوءاستفاده.
• به‌روزرسانی نرم‌افزار به نسخه‌ای که تنظیمات امن‌تری برای WebSocket اعمال می‌کند.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-2577