العدد الأسبوعي رقم 114 - الجمعة 11 أغسطس 2023
موضوع العدد: ما التشفير وكيف يحمي البيانات؟
|
|
|
صباح الخير قراءنا الكرام،
مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.
يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
|
|
أهم الأخبار
-
سلسلة هجمات تصيد احتيالي على Facebook.
-
السلطات السويدية تحذر الشركات من استخدام Google Analytics.
-
تسريب مفتاح Microsoft الذي يمنح وصولًا لنطاق خدمات Microsoft cloud.
-
أكد البنك الألماني Deutsche Bank تعرض مزود الخدمة لاختراق أدى إلى تسرب بيانات العملاء.
-
Apple تهدد بسحب تطبيقات iMessage و FaceTime من المملكة المتحدة (.U.K) بسبب مطالبات المراقبة.
مخاطر وثغرات
-
أكثر من 300,000 جهاز جدار حماية من Fortinet عُرضة لثغرة حرجة في نظام التشغيل FortiOS يسمح بتنفيذ أوامر عن بُعد.
-
Google قامت بتصحيح ثغرة "Bad.Build" في خدمة Cloud Build، ولكن الباحثين يشيرون إلى أن الإصلاح ليس كافيًا.
-
CISA تحث على اتخاذ إجراء فوري لأجهزة Citrix NetScaler ADC وGateway لتعرضها لهجمات.
-
VMware يُصلِح ثغرة تكشف بيانات اعتماد مسؤول بواجهة برمجة تطبيقات Cloud Foundry بسجلات المراجعة.
-
ثغرتان خطيرتان في نظام Linux تؤثران على 40% من مستخدمي Ubuntu
معلومة أمنية
-
ما التشفير وكيف يحمي البيانات؟
|
|
مقتطفات لأهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
|
|
|
سلسلة هجمات تصيد احتيالي على Facebook
04 يوليو 2023
لا تزال حملات التصيد الاحتيالي (Phishing) هي الطريقة الأكثر فعالية لاختراق بيانات الأفراد ونشر برامج ضارة واختراق المؤسسات أو القيام بأي أنشطة إجرامية عبر الإنترنت.
على الرغم من اتخاذ العديد من التدابير الأمنية ضد حملات التصيد الاحتيالي، فإن المهاجمين لا يزالون يبتكرون أساليب متطورة مختلفة للنجاح في هذه الحملات.
تشير التقارير الأخيرة من منصة Zero Day’s Security Platform إلى أن المهاجمين يقومون حاليًّا بتنفيذ عملية احتيال بواسطة هجمات التصيد الاحتيالي تحت اسم شركة الشبكات الاجتماعية العملاقة "Meta"، والتي تدعي انتهاك مبادئ المجتمع على Facebook، مما يمكن أن يؤدي إلى إلغاء تفعيل الحساب.
تم استلام إحدى رسائل البريد الإلكتروني بواسطة PhishZDL، Zero Day Security Platform.
بتحليل رسالة التصيد الاحتيالي: وجد أن نفس الطريقة التي تعمل بها حملات التصيد الاحتيالي الأخرى، تحاول هذه الرسالة أيضًا إحداث استجابة عاطفية من الضحية قد يؤدي بالضحية إلى النقر على الرابط المدمج في البريد الإلكتروني، الذي سيوجههم إلى صفحة احتيالية.
الصفحة المشبوهة التي تم ذكرها تحمل النطاق التالي: hxxps://meta-business-care-7faed[.]web[.]app وتبدو وكأنها صفحة فريق دعم meta الشرعية مع شعار الـ meta.
تعرض الصفحة المعلومات حيث تم وضع علامة على الصفحة باعتبارها نشاطًا مشبوهًا.
بالإضافة إلى الرسالة المذكورة أعلاه، تحتوي الصفحة على خيار يسمح للضحايا بالاحتجاج على الإيقاف ويطلب تقديم عنوان البريد الإلكتروني، ورقم الهاتف، وتفاصيل أخرى. تقديم هذه التفاصيل سيؤدي إلى تسلم القراصنة معلومات شخصية محددة (Personally Identifiable Information "PII") يمكن أن تؤدي إلى الاستيلاء على الحسابات واستخدامها في أغراض ضارة وأكثر خطورة.
صفحات التصيد الاحتيالي ذات شهادة SSL (هي شهادة رقمية تصادق على هوية موقع ويب وتتيح اتصالاً مشفرًا):
تحتوي هذه الصفحات الاحتيالية على شهادة SSL تم إصدارها بواسطة Google Trust Service LLC وتحتوي على العديد من صفحات التصيد الاحتيالي التي تحمل علامات تجارية مزيفة مثل Dropbox وMicrosoft Outlook وSharepoint
تم إصدار تحليل فني شامل لهذه الحملات الاحتيالية من قبل Zero Day.
يُفترض أن عدد الأشخاص الذين أصبحوا ضحية لهذه الحملات الاحتيالية يتجاوز 40,000 شخص.
يُوصَى بأن يكون كل فرد واعيًا لحملات التصيد الاحتيالي ويكون متيقظًا لحماية معلوماته الشخصية.
النطاقات المستخدمة في حملة التصيد الاحتيالي:
-
https://ad-account-disabled-[random].web.app
-
https://business-request-appeal-[random].firebaseapp.com
-
https://due-to-policy-[random].web.app
-
https://fb-restriction-case-[random].web.app
-
https://infringement-case-[random].web.app
-
https://meta-business-case-[random].web.app
-
https://meta-for-business-case-[random].web.app
-
https://policy-violation-[random].web.app
|
|
السلطات السويدية تحذر الشركات من استخدام Google Analytics
05 يوليو 2023
تم تقييد أربع شركات رئيسة CDON، Tele2، Dagens، COOP من الوصول إلى Google Analytics وفرض غرامات عليها لانتهاكها القانون بتحويل البيانات الشخصية إلى بلدان ثالثة.
Google Analytics هي منصة تقوم بجمع البيانات من مواقع الويب والتطبيقات الخاصة بك لإنشاء تقارير توفر رؤى حول عملك.
أجرت الهيئة السويدية لحماية الخصوصية (IMY) تدقيقًا لكيفية استخدام أربع شركات Google Analytics لإحصاءات الويب وتم اكتشاف تحويل البيانات الشخصية.
استنادًا إلى الاتهامات التي رفعتها المنظمة "None of your business"، تم تدقيق هذه الشركات من قبل المحكمة الأوروبية للعدل (CJEU) بشأن تحويل البيانات الشخصية.
وفقًا للوائح حماية البيانات العامة الأوروبية GDPR، يمكن نقل البيانات الشخصية إلى بلدان ثالثة، أي بلدان خارج الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية، إذا قررت المفوضية الأوروبية أن البلد المعني يوفر مستوى مناسبًا من الحماية للبيانات الشخصية يتوافق مع ما هو متاح في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية.
ومع ذلك، قضت المحكمة الأوروبية للعدل CJEU من خلال حكم Schrems II أنه لا يمكن اعتبار الولايات المتحدة لديها مستوى مناسب من الحماية في وقت صدور الحكم.
في عمليات التدقيق، اعتبرت الهيئة السويدية لحماية الخصوصية (IMY) أن البيانات التي يتم نقلها إلى الولايات المتحدة عبر أداة الإحصاءات التابعة لـ Google هي بيانات شخصية؛ لأنه يمكن ربطها ببيانات فريدة أخرى يتم نقلها.
كما أن الشركات لم تتخذ تدابير أمان كافية في معالجة البيانات لتلبية المستوى المضمون في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية.
وفقًا للمستشارة القانونية Sandra Arvidsson، التي قادت عمليات تدقيق الشركات، فإنه من الواضح أي الاشتراطات المفروضة على التدابير الأمنية التقنية والتدابير الأخرى عند نقل البيانات الشخصية إلى بلد ثالث.
ووفقًا للمحكمة الأوروبية للعدل، إذا لم تقرر المفوضية الأوروبية مستوى مقبولًا من الحماية، والذي يتم تحديده من خلال شروط عقود قياسية، فقد تحتاج هذه الشروط العقدية العادية إلى استكمالها بحماية إضافية إذا كان من المهم الحفاظ على الحمايات التي تهدف الشروط إلى توفيرها.
استندت جميع الشركات الأربع في قراراتها بشأن نقل البيانات الشخصية عبر Google Analytics على أساس شروط عقود قياسية.
ولكن من خلال فحص الهيئة السويدية لحماية الخصوصية (IMY)، يبدو أنه لا توجد تدابير أمان تقنية إضافية كافية لدى أي من الشركات.
اصدرت الهيئة السويدية لحماية الخصوصية (IMY) غرامة إدارية بقيمة 12 مليون كرونة سويدية على شركة Tele2 و300,000 كرونة سويدية على شركة CDON، التي لم تتخذ التدابير الوقائية الشاملة نفسها كـ Coop وDagens Industri. وقد قامت Tele2 مؤخرًا بوقف استخدام أداة الإحصاءات بمبادرة منها. وطلبت من الشركات الثلاث الأخرى التوقف عن استخدام الأداة.
أفادت ساندرا أرفيدسون: "تنطوي هذه القرارات على تداعيات ليست فقط على هذه الشركات الأربع، بل يمكن أيضًا أن توفر إرشادات للمنظمات الأخرى التي تستخدم Google Analytics".
|
|
تسريب مفتاح Microsoft الذي يمنح وصولًا لنطاق خدمات Microsoft cloud
21 يوليو 2023
تمت سرقة مفتاح توقيع لمستهلكي Microsoft من قِبَل مجموعة من الهاكرز الصينيين المعروفين باسم Storm-0558، وقد منحهم وصولًا يتجاوز بكثير حسابات Exchange Online وOutlook.com التي أكدت Redmond أنها تم اختراقها. وفقًا لباحثي أمان من شركة Wiz.
كشفت Redmond في 12 يوليو أن الهجمات قد استهدفت حسابات Exchange Online وAzure Active Directory (AD) لنحو 20 منظمة. وتم تحقيق ذلك عن طريق استغلال ثغرة تم تصحيحها في وقت لاحق، والمتعلقة بالتحقق من الصحة في GetAccessTokenForResourceAPI، مما سمح لهم بتزوير رموز الوصول الموقعة وانتحال صفة الحسابات داخل المؤسسات المستهدفة. تتضمن الجهات المتأثرة وكالات حكومية في الولايات المتحدة والمناطق الأوروبية الغربية، بما في ذلك وزارتا الخارجية والتجارة الأمريكيتان.
أكد الباحث Shir Tamari من شركة Wiz أن تأثير الاختراق امتد إلى جميع تطبيقات Azure AD التي تعمل بنظام Microsoft's OpenID v2.0.؛ وذلك بسبب قدرة المفتاح المسروق على توقيع أي رمز وصول لـ OpenID v2.0 لحسابات شخصية (مثل Xbox وSkype) وتطبيقات متعددة المستأجرين لـ Azure AD "AAD"..
بعد نشر هذه المقالة، أوضحت Microsoft أن التأثير كان محصورًا فقط على تلك التطبيقات التي تقبل الحسابات الشخصية وتعاني من خطأ في التحقق من الصحة.
بينما أكدت Microsoft أن الاختراق أثر فقط على Exchange Online وOutlook، يقول فريق Wiz إن المهاجمين يمكنهم استخدام المفتاح المسروق لتوقيع الحسابات في أي تطبيق آخر يتعامل مع Microsoft أو في أي حساب في أي تطبيق آخر تابع للعملاء وقائم على السحابة.
صرح Shir Tamari: "يشمل هذا التأثير التطبيقات الإدارية لـ Microsoft، مثل Outlook وSharePoint وOneDrive وTeams، فضلاً عن تطبيقات العملاء التي تدعم مصادقة Microsoft Account، بما في ذلك تلك التي تسمح بوظيفة "تسجيل الدخول باستخدام Microsoft".
أفاد أيضًا Ami Luttwak، الرئيس التنفيذي المشارك ومؤسس Wiz: "كل شيء في عالم Microsoft يستخدم رموز مصادقة Azure Active Directory للوصول". "المهاجم الذي يحصل على مفتاح AAD هو أقوى مهاجم يمكن تصوره؛ لأنه يمكنه الوصول إلى تقريبا أي تطبيق - بصفة أي مستخدم. هذه هي القوة الخارقة لتغير شكل الذكاء السيبراني."
استجابةً لاختراق الأمان، ألغت Microsoft جميع مفاتيح MSA (Microsoft Account) التوقيع الصالحة للتأكد من عدم توافرها لدى المهاجمين للوصول إلى مفاتيح مخترقة أخرى.
تمنع هذه الإجراءات أيضًا أية محاولات لتوليد رموز وصول جديدة. وبالإضافة إلى ذلك، قامت Redmond بنقل الرموز التي تم إنشاؤها حديثًا إلى مستودع المفاتيح لأنظمة الشركة الأمنية.
بعد إبطال مفتاح التوقيع المسروق، لم تجد Microsoft أي دليل آخر يشير إلى وجود وصول غير مصرح به إضافي إلى حسابات عملائها باستخدام نفس تقنية تزوير رموز المصادقة.
بالإضافة إلى ذلك، أفادت Microsoft أنها لاحظت تغييرًا في تكتيكات Storm-0558، مما يشير إلى عدم توافر لدى المهاجمين لأي مفاتيح توقيع.
وفي النهاية، كشفت الشركة أنها لا تزال لا تعرف كيف اخترق الهاكرز الصينيون مفتاح توقيع مستهلكي Microsoft. ولكن بعد الضغط من CISA، وافقت الشركة على توسيع الوصول إلى بيانات تسجيل السحابة مجانًا لمساعدة المدافعين على اكتشاف محاولات الاختراق المماثلة في المستقبل.
وقبل ذلك، كانت هذه القدرات متاحة فقط لعملاء Microsoft الذين يدفعون رسومًا لترخيص تسجيل Purview Audit (Premium). ونتيجة لذلك، واجهت Microsoft انتقادات كبيرة لإعاقة المؤسسات من اكتشاف هجمات Storm-0558 بسرعة.
وأشار Tamari إلى أنه في هذه المرحلة يصعب تحديد نطاق الحادث بالكامل، حيث كان هناك ملايين التطبيقات التي كانت عرضة للخطر، سواء كانت تطبيقات Microsoft أو تطبيقات العملاء، وأغلبها لا يتوافر لديها سجلات كافية لتحديد ما إذا تم اختراقها أم لا.
|
|
أكد البنك الألماني Deutsche Bank تعرض مزود الخدمة لاختراق أدى إلى تسرب بيانات العملاء
11 يوليو 2023
أكد بنك Deutsche Bank AG الألماني أن اختراقًا لأحد مزودي خدماته أدى إلى تعرض بيانات عملائه للسرقة باستخدام تقنية "MOVEit Transfer".
أفاد المتحدث باسم البنك: "تلقينا إخطارًا بوقوع حادث أمان في أحد مزودي خدماتنا الخارجيين، والذي يدير خدمة تبديل الحسابات الخاصة بنا في ألمانيا".
وجاء في البيان: "بالإضافة إلى مزود الخدمة الخاص بنا، فإننا نفهم أن أكثر من 100 شركة في أكثر من 40 دولة معرضة بشكل محتمل للتأثر"، مما يشير إلى أن الحادث مرتبط بموجة هجمات برمجية "Clop ransomware" باستخدام تقنية "MOVEit".
وأكد أن "أنظمة Deutsche Bank لم تتأثر بالحادث الذي وقع بمزود الخدمة لدينا في أي وقت".
أفاد البنك العام الألماني، الذي يعد واحدًا من أكبر البنوك في العالم بإجمالي أصول بقيمة 1.5 تريليون دولار أمريكي وصافي دخل سنوي بلغ 6.3 مليارات دولار أمريكي، بأن الحادث أثر على العملاء في ألمانيا الذين استخدموا خدمة تبديل الحسابات في الفترات بين 2016 و2017 و2018 و2020.
وأوضح البنك أنه تم الكشف عن كمية محدودة فقط من البيانات الشخصية بسبب الحادث الأمني.
لم يتم تحديد عدد العملاء المتأثرين بعد، ولكن أكد بنك Deutsche أنه تم إبلاغهم جميعًا بشكل مناسب بالتأثير المباشر والاحتياطات التي يجب عليهم اتخاذها بشأن بياناتهم المعرضة للخطر.
في غضون ذلك، يقوم البنك بالتحقيق في أسباب تسرب البيانات واتخاذ إجراءات مستهدفة لتحسين احتياطات أمن البيانات لتجنب وقوع حوادث مماثلة تؤثر على عملائه في المستقبل.
أكد بنك Deutsche أن القراصنة الإلكترونيين لا يمكنهم الوصول إلى الحسابات باستخدام البيانات المعرضة للخطر، ولكنهم قد يحاولون تنفيذ خصم مباشر غير مصرح به.
تلبيةً لهذا المخاطر، قام البنك بتمديد فترة الإرجاع للخصومات المباشرة غير المصرح بها إلى 13 شهرًا، مما يتيح لعملائه وقتًا كافيًا للكشف عن هذه العمليات والإبلاغ عنها والحصول على تعويض عن العمليات غير المصرح بها.
بالنسبة لتأثير هذا الاختراق على البنوك الأخرى وفقًا لوسائل الإعلام الألمانية، فإن الحادث الأمني في مزود الخدمة الذي لم يذكر اسمه الذي يستخدمه بنك Deutsche أدى أيضًا إلى تأثر بنوك أخرى كبيرة ومزودي خدمات مالية، بما في ذلك Commerzbank وPostbank وCodirect وING.
تلقى Handelsblatt بيانًا من Commerzbank يؤكد أن مزود الخدمة المخترق هو "ماجوريل" (Majorel)، والذي أكد أيضًا بشكل مستقل أنه كان هدفًا لهجوم سيبراني يستغل ثغرة في برنامج. MOVEit
أفاد Commerzbank وفقًا لوكالة الأنباء الألمانية أنه لم يتأثر أي من عملائه، ولكن تأثر فرعه الفرعي Comdirect بشكل غير مباشر.
بالنسبة لبنك Postbank، أكد أن التأثير كان محدودًا ولم يتم الكشف عن أي أرقام للعملاء.
أعلن بنك ING أنه على علم بوجود هجوم سيبراني على مزود خدمة أثر على عدد الذين استخدموا خدمات تبديل الحسابات.
طلب BleepingComputer تعليقًا من جميع مقدمي الخدمات المالية المتأثرين ولكن لم يتلق ردًا بعد.
|
|
Apple تهدد بسحب تطبيقات iMessage و FaceTime من المملكة المتحدة (.U.K) بسبب مطالبات المراقبة
22 يوليو 2023
أعلنت Apple أنها ستفضل التوقف عن تقديم خدمات iMessage وFaceTime في المملكة المتحدة بدلاً من الانحناء أمام ضغوط الحكومة ردًا على اقتراحات جديدة تسعى لتوسيع الصلاحيات الرقمية لوكالات الاستخبارات الحكومية.
تم الإبلاغ عن هذا التطور أولاً من قبل BBC News، ويجعل Apple آخر المنضمين إلى جوقة الأصوات المحتجة ضد التغييرات التشريعية القادمة لقانون الصلاحيات الاستقصائية (Investigatory Powers Act "IPA") لعام 2016 بطريقة تجعل حماية التشفير غير فعالة.
تحديدًا، يتطلب قانون السلامة الرقمية أو الأمان عبر الإنترنت من الشركات تثبيت تكنولوجيا لفحص المحتوى المتعلق بالاستغلال الجنسي والإساءة للأطفال (CSEA) والمحتوى الإرهابي في تطبيقات المراسلة المشفرة والخدمات الأخرى. كما يلزم أن تقوم خدمات المراسلة بالتأكد من ميزات الأمان لدى وزارة الداخلية قبل إصدارها واتخاذ إجراءات فورية لتعطيلها إذا لزم الأمر دون إبلاغ الجمهور.
بالرغم من أن القانون لا يطالب صراحة بإزالة التشفير من طرف إلى طرف، فإنه سيعني بالفعل ضعفه، حيث ستكون الشركات المقدمة للخدمات مضطرة لفحص جميع الرسائل لتحديد المحتوى المخالف وإزالته. وقد نظر إلى ذلك على أنه خطوة غير متناسبة تتيح للحكومة فرض التحصين الضخم والمراقبة.
أخبرت شركة آبل هيئة الإذاعة البريطانية أن مثل هذا الحكم "سيشكل تهديدًا خطيرًا ومباشرًا لأمن البيانات وخصوصية المعلومات".
في أبريل هذا العام، نشر عدد من تطبيقات المراسلة التي تقدم حاليًا محادثات مشفرة، مثل Element وSignal وThreema وViber وMeta المملوكة لـ WhatsApp وWire، رسالة مفتوحة تحث حكومة المملكة المتحدة على إعادة التفكير في نهجها و "تشجيع الشركات على تقديم المزيد من الخصوصية والأمان لسكانها".
"لا يوفر مشروع القانون أي حماية صريحة للتشفير، وإذا تم تنفيذه كما هو مكتوب، يمكن أن يمكّن من محاولة فرض المسح الاستباقي للرسائل الخاصة على خدمات الاتصالات المشفرة من طرف إلى طرف - مما يلغي الغرض من التشفير من طرف إلى طرف كنتيجة ويعرض خصوصية جميع المستخدمين للخطر".
قامت شركة Apple، التي أعلنت سابقًا عن خططها للتعرف على المحتوى الذي قد يكون مشكوكًا فيه أو مُسئًا في صور iCloud Photos، بالتخلي عن هذه الخطط في العام الماضي بعد تلقي معارضة من مجموعات حقوق الرقمية بسبب المخاوف من سوء استخدام هذه القدرات للنيل من خصوصية وأمان المستخدمين.
ليس هذه هي المرة الأولى التي تظهر فيها مشكلة التضارب بين التشفير من طرف إلى طرف والحاجة إلى مكافحة الجرائم الجدية عبر الإنترنت.
في مايو 2021، رفعت WhatsApp دعوى قضائية ضد الحكومة الهندية لمنع تشريعات الإنترنت التي ستجبر تطبيق المراسلة على كسر التشفير عن طريق دمج آلية التتبع لتحديد "أول مرسل للمعلومات" أو يخاطر بمواجهة عقوبات جنائية. القضية لا تزال معلقة.
تتوافق رفض Apple بالمشاركة مع موقفها العلني تجاه الخصوصية، حيث يتيح لها تحديد نفسها بأنها "بطل الخصوصية" بين الشركات الأخرى التي تعتمد على جمع بيانات المستخدمين لتقديم إعلانات مستهدفة.
ولكن هذا الموقف يبدو متناقضًا عند مراعاة حقيقة أن كل رسالة تُرسل أو تُستقبل من جهاز غير تابع لشركة Apple غير مُشفرة - حيث لا يدعم رسائل الرسائل القصيرة (SMS) التشفير من طرف إلى طرف - وهو ما قد يفتح الباب أمام المراقبة الحكومية.
|
|
مخاطر وثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
|
|
|
أكثر من 300,000 جهاز جدار حماية من Fortinet عُرضة لثغرة حرجة في نظام التشغيل FortiOS يسمح بتنفيذ أوامر عن بُعد
3 يوليو 2023
مئات الآلاف من جدران الحماية FortiGate عُرضة لثغرة حرجة تم تحديدها برقم CVE-2023-27997، وذلك بعد ما يقرب من شهر من إصدار Fortinet لتحديث يعالج هذه المشكلة.
الثغرة تعد من نوع تنفيذ الأوامر عن بُعد بدرجة خطورة 9.8 من أصل 10، وذلك نتيجة لمشكلة في تجاوز سعة المخزن المؤقت في نظام التشغيل FortiOS، وهو النظام الذي يربط جميع مكونات شبكة Fortinet لتكاملها في منصة Security Fabric.
يُمكن استغلال CVE-2023-27997 السماح للمهاجم غير المصادق عليه بتنفيذ الأوامر عن بُعد على الأجهزة الضعيفة والتي يتم عرض واجهة SSL VPN الخاصة بها على الويب. في تنويه في منتصف يونيو، حذر من أنه قد يكون قد تم استغلال المشكلة في هجمات.
قامت شركة Fortinet بمعالجة الثغرة في 11 يونيو قبل الكشف عنها علنًا، من خلال إصدار إصدارات جديدة لبرامج الأجهزة (firmware) FortiOS وهي الإصدارات 6.0.17 و 6.2.15 و 6.4.13 و 7.0.12 و 7.2.5.
ذكرت شركة Bishop Fox لحلول الأمان الهجومي أنه على الرغم من الدعوات لتحديث الأجهزة، ما زال أكثر من 300,000 جهاز جدار حماية FortiGate عُرضة للهجمات ومتاحة عبر الإنترنت العامة.
استخدم باحثو Bishop Fox محرك البحث Shodan للعثور على الأجهزة التي استجابت بطريقة تشير إلى تعرض واجهة SSL VPN. تم ذلك من خلال البحث عن الأجهزة التي أرجعت HTTP response header محدد.
قاموا بتصفية النتائج لتلك التي أعادت توجيهها إلى '/remote/login'، وهو إشارة واضحة لتعرض واجهة SSL VPN.
أظهرت الاستعلامات السابقة وجود 489,337 جهازًا، ولكن ليس كلها عُرضة لثغرة CVE-2023-27997 المعروفة أيضًا باسم Xortigate. وبعد التحقيق الأكثر تفصيلاً، اكتشف الباحثون أن 153,414 من الأجهزة التي تم اكتشافها قد تم تحديثها إلى إصدار آمن من نظام التشغيل FortiOS.
وفقًا لباحثي شركة Bishop Fox، فإن هذا يعني أن نحو 335,900 جدار حماية FortiGate المتاحة عبر الويب معرضة للهجمات، وهذا العدد يفوق بكثير التقديرات الأخيرة التي قدرت بنحو 250,000 جهاز بناءً على استعلامات أخرى أقل دقة.
كما اكتشف الباحثون في Bishop Fox أن العديد من الأجهزة المكشوفة لشركة FortiGate لم تتلق تحديثًا على مدار السنوات الثماني الماضية، حيث يعمل بعضها بنظام التشغيل FortiOS 6 الذي انتهى دعمه في 29 سبتمبر من العام الماضي.
تكون هذه الأجهزة عُرضة لعدة ثغرات بدرجة خطورة حرجة، حيث تتوافر أدلة توضح كيفية استغلال هذه الثغرات بشكل عملي.
|
|
Google قامت بتصحيح ثغرة "Bad.Build" في خدمة Cloud Build، ولكن الباحثين يشيرون إلى أن الإصلاح ليس كافيًا
20 يوليو 2023
بحث باحثون في Orca Security عن ثغرة في خدمة Google Cloud Build، كان بإمكان المهاجمين الحصول على تصعيد الامتياز Privilege Escalation مما يؤدي إلى الوصول غير المصرح به إلى مستودعات الشفرة في Google Artifact Registry.
أطلق الباحثون على الثغرة اسم "Bad.Build" ويقولون إنه يمكن أن يكون لها آثار وعواقب واسعة تشبه هجمات supply chain عن استغلال الثغرات في 3CX و MOVEit وSolarWinds.
تم إصلاح الثغرة في يونيو ووفقًا لـ Google، لا يُطلب المزيد من إجراءات المستخدمين. ولكن يدعي باحثو الأمان أن الإصلاح الذي قامت به Google يحد من نطاق تصعيد الامتياز Privilege Escalation المكتشف، وأن المؤسسات لا تزال عُرضة لمخاطر the larger supply chain risk.
نظرًا لأن الباحثين شرحوا كيف يمكن استغلال ثغرة Bad.Build، يُنصح مستخدمو Google Cloud Build باتخاذ إجراءات.
عندما أُبلغت Google عن المشكلة، قامت بإلغاء إذن logging.privateLogEntries.list من حساب خدمة Cloud Build للامتثال لمبدأ الأمان الأدنى. عند تمكين واجهة برمجة التطبيقات Cloud Build في مشروع، تنشئ Cloud Build حساب خدمة افتراضي لتنفيذ عمليات البناء نيابة عنك. كان حساب خدمة Cloud Build السابق يحتوي على الإذن المسمى، والذي يسمح للبناء بالوصول إلى قائمة السجلات الخاصة بشكل افتراضي. ومع ذلك، لم يكن الإذن الملغي متعلقًا بـArtifact Registry..
نتيجة لذلك، يمكن للمهاجم استخدام أذونات artifactregistry لتنزيل وتسريب صورة تُستخدم داخل Google Kubernetes Engine (GKE). يمكن للمهاجم بعد ذلك حقن رموز ضارة في الصورة ودفعها مرة أخرى إلى سجل الأصول (Artifact Registry)، الذي يتم نشره مرة أخرى في GKE. بمجرد نشر الصورة الضارة، يمكن للمهاجم استغلالها وتشغيل الرمز على Docker كمستخدم root.
إذا كان هناك شيء أكده الباحثون بشكل واضح، فهو أهمية أن تولي المؤسسات اهتمامًا كبيرًا لسلوك حساب خدمة Google Cloud Build الافتراضي. وهنا بعض النقاط المهمة التي يجب مراعاتها:
-
مبدأ أدنى الامتيازات Principle of least privilege: قم بتقييد الأذونات إلى ما هو ضروري وتتبع الأذونات الممنوحة.
-
تنفيذ الكشف والاستجابة للسحابة Implement cloud detection and response: إذا حدث خطأ ما، فمن المهم معرفة ذلك في أقرب وقت ممكن.
-
حدد أولويات المخاطر Prioritize risks: لا تفقد من الاعتبار أن تكون مجموعة من الثغرات الظاهرة عديمة الضرر يمكن أن تتسلسل معًا لشن هجوم قاتل.
نفت Google تقييم Orca Security، موضحة أن الوصول الذي يتم منحه لحسابات الخدمة هو "طبيعة الأنظمة الآلية التي تعمل بشكل مستقل"، ولكن كلا الطرفين اتفقا على أنه من المهم التحقق من الأذونات وتعديلها حسب الحاجة، اعتمادًا على نموذج التهديد الخاص بك.
|
|
CISA تحث على اتخاذ إجراء فوري لأجهزة Citrix NetScaler ADC وGateway لتعرضها لهجمات
21 يوليو 2023
أصدرت وكالة الأمان السيبراني وأمن البنية التحتية الأمريكية (CISA) تنبيهًا يحذر من أن الثغرة الأمنية الحرجة المكتشفة حديثًا في أجهزة Citrix NetScaler Application Delivery Controller (ADC) وGateway يتم استغلالها لوضع ملفات (web shell) على الأنظمة الضعيفة.
أفادت الوكالة: "في يونيو 2023، قام المهاجمون باستغلال هذه الثغرة كهجوم Zero-Day لوضع ملف web shell على جهاز NetScaler ADC للبيئة غير الإنتاجية لمؤسسة بنية تحتية حيوية".
"ملف web shell مكّن المهاجمين من القيام بعمليات استكشاف على Active Directory (AD) للضحية وجمع وتهريب بيانات AD. حاول المهاجمون الانتقال جانبيًا إلى مراقب النطاق (Domain Controller) ولكن تم حظر حركتهم بواسطة ضوابط الفصل الشبكي للجهاز".
الثغرة المشار إليها هي CVE-2023-3519 درجة (CVSS: 9.8)، وهي ثغرة حقن رمز يمكن أن تؤدي إلى تنفيذ كود برمجي عن بُعد دون مصادقة. أصدرت Citrix تصحيحات للمشكلة وحذرت من استغلالها النشط.
لم تكشف CISA عن اسم المؤسسة التي تأثرت بالحادث. وحاليًّا لا يُعرف بالضبط هوية المهاجم أو البلد الذي يقف وراءه.
في الحادث الذي قامت CISA بتحليله، يُقال إن ملف web shell مكّن من جمع ملفات تكوين NetScaler ومفاتيح فك تشفير NetScaler ومعلومات Active Directory، ثم تم نقل البيانات على شكل ملف صورة PNG ("medialogininit.png").
وتم إحباط أية محاولات للخصم والتحرك جانبيًا عبر الشبكة وتشغيل أوامر لتحديد الأهداف وأضافت أن المهاجمين حاولوا أيضًا حذف أدلة تعمدًا لطمس آثارهم.
الثغرات في منتجات البوابة مثل NetScaler ADC وNetScaler Gateway أصبحت أهدافًا شائعة للمهاجمين الذين يسعون للحصول على وصول مميز إلى الشبكات المستهدفة. وهذا يجعل من الضروري أن يتحرك المستخدمون بسرعة لتطبيق أحدث التحديثات للحماية من التهديدات المحتملة.
|
|
VMware يُصلِح ثغرة تكشف بيانات اعتماد مسؤول بواجهة برمجة تطبيقات Cloud Foundry بسجلات المراجعة
11 يوليو 2023
قامت شركة VMware بإصلاح ثغرة في كشف المعلومات في خدمة تطبيقات VMware Tanzu Application Service for VMs (TAS for VMs) وIsolation Segment الناجمة عن تسجيل بيانات الاعتماد وتعريضها عبر سجلات system audit logs.
تساعد خدمة TAS for VMs الشركات في أتمتة نشر التطبيقات عبر السحابات الموجودة داخل المؤسسات المحلية أو العامة والخاصة مثل (vSphere وAWS وAzure وGCP و (OpenStack
يتم تتبع هذه الثغرة باسم CVE-2023-20891، ويسمح الإصلاح الذي قامت به شركة VMware للمهاجمين عن بُعد ذوي الامتيازات المنخفضة بالوصول إلى بيانات اعتماد مسؤول واجهة برمجة تطبيقات Cloud Foundry على الأنظمة التي لم يتم تحديثها، باستخدام هجمات قليلة التعقيد لا تتطلب تفاعل المستخدم.
يحدث ذلك لأنه في النُسخ غير المُحدّثة من خدمة TAS for VMs، تُسجل بيانات اعتماد مسؤول واجهة برمجة تطبيقات Cloud Foundry في سجلات platform system audit logs.
يمكن للمهاجمين الذين يستغلون هذا الثغرة استخدام بيانات الاعتماد المسروقة لدفع نُسخ خبيثة من التطبيقات.
أفادت شركة VMware: "يمكن لمستخدم غير مسؤول والذي لديه صلاحية الوصول إلى سجلات platform system audit logs الوصول إلى بيانات اعتماد مسؤول واجهة برمجة تطبيقات Cloud Foundry ويمكنه دفع نُسخ جديدة خبيثة من التطبيق."
ولحسن الحظ، كما أشارت شركة VMware، لا يحصل المستخدمون غير المسؤولين على صلاحية الوصول إلى سجلات system audit logs في standard deployment configurations.
توصي الشركة بتغيير اعتمادات مسؤول واجهة برمجة تطبيقات Cloud Foundry
(CF API) لجميع مستخدمي TAS for VMs المتأثرين بالثغرة CVE-2023-20891 للتأكد من عدم قدرة المهاجمين على استخدام أية كلمات مرور تسربت.
تقدم شركة VMware تعليمات مفصلة حول تغيير اعتمادات مسؤول حساب ومصادقة مستخدم واجهة برمجة تطبيقات Cloud Foundry (UAA).
وتحذر شركة VMware قائلة " لا تدعم TAS بشكل رسمي لتغيير كلمة مرور مستخدم الإدارة في واجهة برمجة تطبيقات Cloud Foundry (UAA). التعليمات المذكورة لم تختبر بشكل رسمي كجزء من مجموعة اختبارات مدير العمليات، لذلك استخدمها على مسؤوليتك الشخصية."
"قد يكون من الجذاب تغيير كلمة مرور المستخدم الإداري باستخدام أداة uaac. للأسف، ليس هذا كافيًا لأنه سيقوم فقط بتحديث كلمة مرور المستخدم الإداري في واجهة برمجة تطبيقات Cloud Foundry (UAA). وهذا يجعل مدير العمليات غير متزامن وقد يتسبب في فشل المهام والوظائف".
الشهر الماضي، قامت شركة VMware بتصحيح ثغرات خطيرة عالية في خادم vCenter التي تسمح بتنفيذ التعليمات البرمجية وتجاوز المصادقة.
كما قامت بإصلاح خطأ أمان zero-day في ESXi تم استغلاله من قبل مجموعة قرصنة صينية مدعومة من الحكومة لوضع برامج خلفية على أجهزة الكمبيوتر افتراضية والتي تعمل بنظام التشغيل Windows و Linux في هجمات سرقة البيانات.
في الآونة الأخيرة، حذرت الشركة العملاء من أن برمجيات استغلال الثغرات متاحة الآن لثغرة RCE الحرجة في أداة VMware Aria Operations for Logs التحليلية.
|
|
ثغرتان خطيرتان في نظام Linux تؤثران على 40% من مستخدمي Ubuntu
27 يوليو 2023
كشف باحثو الأمان السيبراني عن ثغرتين أمنيتين شديدتي الخطورة في Ubuntu kernel يمكن أن تمهدان الطريق لهجمات رفع الامتيازات المحلية.
قامت شركة "Wiz" بمشاركة تقرير مع The Hacker News وأفادت أن الثغرات سهلة الاستغلال ولها القدرة على التأثير على 40% من مستخدمي Ubuntu.
قال الباحثون الأمنيون Sagi Tzadik وShir Tamari: "الإصدارات المتأثرة من Ubuntu شائعة في السحابة، حيث تعمل كنظام تشغيل افتراضي لمزودي خدمات السحابة المتعددين".
الثغرات – تم تتبعها تحت أرقام CVE-2023-2640 وCVE-2023-32629 بمؤشرات CVSS: 7.8 وتحت اسم GameOver(lay) - موجودة في وحدة تُسمى OverlayFS وتنشأ نتيجة فحص غير كافٍ للأذونات، مما يتيح للمهاجم المحلي الحصول على امتيازات عالية.
OverlayFS هو نظام ملفات موحد يجعل من الممكن دمج العديد من directory trees أو أنظمة الملفات file systems في نظام ملفات واحد موحد.
وصف موجز للثغرتين أدناه -
-
CVE-2023-2640
توجد في Ubuntu kernels التي تحمل كلاً من c914c0e27eb0 و UBUNTU: SAUCE: overlayfs حيث تخطى التحقق من إذن التخطي لـ trusted.overlayfs * xattrs، ويمكن لمستخدم غير متميز تعيين privileged extended attributes على الملفات المحملة mounted files، مما يؤدي إلى تعيينها في الملفات العلوية بدون فحوصات الأمان المناسبة.
-
CVE-2023-32629
ثغرة أمنية لتصعيد الامتياز المحلي في Ubuntu Kernels overlayfs ovl_copy_up_meta_inode_data تخطى عمليات التحقق من الأذونات عند استدعاء ovl_do_setxattr على Ubuntu Kernel.
باختصار، يتيح GameOver (Lay) إمكانية "إنشاء ملف قابل للتنفيذ executable file بقدرات ملف محددة النطاق وخداع Ubuntu Kernel لنسخه إلى موقع مختلف بقدرات غير محددة النطاق، ومنح أي شخص ينفذه امتيازات root-like privileges."
بعد الكشف عن الثغرات، تم إصلاحها من قبل Ubuntu اعتبارًا من 24 يوليو 2023.
صرحت Ami Luttwak، المدير التنفيذي التقني وأحد مؤسسي شركة Wiz، في بيان تم مشاركته مع النشرة تؤكد النتائج أن التغييرات الطفيفة في Linux kernel التي قدمتها Ubuntu يمكن أن تكون لها تداعيات غير متوقعة.
أفاد الباحثون: "كلتا الثغرتين الأمنيتين فريدتين من نوعهما في Ubuntu kernels لأنها نشأت من تغييرات Ubuntu الفردية على وحدة OverlayFS"، مضيفين أن المشكلات قابلة للمقارنة مع الثغرات الأخرى مثل CVE-2016-1576، CVE-2021-3493، CVE-2021 -3847 وCVE-2023-0386.
|
|
معلومات للتوعية بأمن المعلومات
|
|
|
|
|
|
التشفير هو عملية تشتيت المعلومات، لتجنب أن يستوعب الأطراف الثالثة الرسالة حتى إذا تم اعتراضها. يتم إجراء هذا التشتيت باستخدام حسابات رياضية وخطوات محددة، يُعرف غالبًا بشكل مجمع باسم الشفرات (Ciphers). جنبًا إلى جنب مع الشفرة، يتم استخدام مفتاح التشفير encryption key لتشفير الرسالة.
ية التشفير هو عملية فك التشفير. فك التشفير هو عملية عكس العمل الذي تم بواسطة التشفير. يقوم بتحويل المعلومات المشتتة إلى شكلها الأصلي حتى يمكن قراءة البيانات مرة أخرى. عادةً، يمكن لمفتاح التشفير الذي تم استخدامه لتشفير البيانات أن يقوم بفك التشفير، ولكن ذلك يختلف اعتمادًا على نوع التشفير المستخدم. بغض النظر عما إذا كانت هذه المفاتيح هي نفسها أم لا، فإن المفتاح أمر ضروري لكل من عمليات التشفير وفك التشفير للبيانات.
الأصلية، يُطلق عليها اسم "نص واضح cleartext" أو "النص الأصلي plaintext". بعد تشفير النص الأصلي باستخدام مفتاح التشفير، يُطلق على الرسالة المشفرة اسم "النص المشفر ciphertext". يمكن بعد ذلك تمرير نفس النص المشفر من خلال مفتاح فك التشفير والعودة إلى صيغة "النص الواضح cleartext/النص الأصلي plaintext".
