اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• انقطاع في Facebook وInstagram يؤدي إلى تسجيل خروج المستخدمين، وكلمات المرور لا تعمل

• اختراق بيانات مكتب البطالة الفرنسي يؤثر على 43 مليون شخص

• منشئ برنامج التجسس Pegasus قام بالكشف عن الكود المستخدم للتجسس على مستخدمي WhatsApp

• تعرضت شركة Apple لغرامة قدرها 1.95 مليار دولار لمكافحة الاحتكار في الاتحاد الأوروبي بسبب ممارسات متجر التطبيقات

• تعمل نتائج بحث الذكاء الاصطناعي الجديدة من Google على الترويج لمواقع البرامج الضارة وعمليات الاحتيال

مخاطر وثغرات

• Cisco تصدر تصحيحًا لثغرة VPN Hijacking عالية الخطورة في برنامج Secure Client

• ثغرة حرجة في Fortinet تؤثر على 150000 جهاز وتعرضها للخطر

• تعمل VMware على إصلاح ثغرات حرجة في ESXi وWorkstation وFusion

• تطلق Ivanti إصلاحًا عاجلاً لثغرة أمنية حرجة (RCE)

• اكتشاف ثغرات متعددة من قبل باحثين في ملحقات ChatGPT

معلومة أمنية

• برامج الفدية وأبرز هجماتها في عام 2023
            

انقطاع في Facebook وInstagram يؤدي إلى تسجيل خروج المستخدمين، وكلمات المرور لا تعمل
 

05 مارس 2024

تم تسجيل خروج مستخدمي Facebook وInstagram من المواقع وواجهوا مشكلة في تسجيل الدخول، وتلقوا أخطاء تفيد بأن كلمات المرور الخاصة بهم غير صحيحة في جميع أنحاء العالم، بما في ذلك الولايات المتحدة الأمريكية وأوروبا وآسيا.

تلقى موقع Downdetector، وهو موقع ويب يتتبع متى تتوقف الخدمات عبر الإنترنت عن العمل، العديد من التقارير التي تشير إلى أن الانقطاع ليس مقتصرًا على منطقة أو بلد معين.

وقد تسبب الانقطاع في تسجيل خروج الأشخاص تلقائيًا من Meta وتوقف Instagram عن العمل؛ مما أدى إلى ظهور أخطاء مثل "فشل في التحديث".

عند تسجيل الخروج من فيسبوك، تظهر للمستخدمين رسالة تفيد "انتهت الجلسة.. يرجى تسجيل الدخول مرة أخرى".

عند محاولة تسجيل الدخول مرة أخرى، يفيد Meta بشكل "غير صحيح" أن كلمات مرور مستخدمي Facebook خاطئة. وقد دفع هذا الكثيرين إلى محاولة إعادة تعيين كلمات المرور الخاصة بهم لاستعادة الوصول، ليكتشفوا أن ذلك لا يحل المشكلة.

ونتيجة لذلك، أثار هذا الوضع قلق بعض المستخدمين من احتمال تعرض حساباتهم للاختراق.

وبالمثل، واجه بعض المستخدمين أيضًا خطأ عند محاولة الوصول إلى Instagram، "لم نتمكن من الاتصال بـ Instagram. تأكد من أنك متصل بالإنترنت وحاول مرة أخرى".

وأكدت Meta في بيان لها انقطاع الخدمة لجميع خدماتها: نحن على علم بالمشكلة التي يواجهها المستخدمون عند تسجيل الدخول إلى منصاتنا. إن فرقنا الهندسية على علم بالمشكلة وتسعى جاهدة لحلها في أسرع وقت ممكن.
 

اختراق بيانات مكتب البطالة الفرنسي يؤثر على 43 مليون شخص
 

14 مارس 2024

حذر France Travail، المعروف سابقًا باسمPôle Emploi ، من أن المهاجمين انتهكوا أنظمته وقد يقومون بتسريب أو استغلال التفاصيل الشخصية لما يقدر بنحو 43 مليون شخص.

France Travail مكتب الحكومة الفرنسي المسؤول عن تسجيل العاطلين عن العمل وتقديم المساعدة المالية لهم ومساعدتهم في العثور على وظائف.

كشف المكتب أن مهاجمين سرقوا تفاصيل تخص الباحثين عن عمل المسجلين لديه خلال العشرين عامًا الماضية في هجوم إلكتروني في الفترة ما بين 6 فبراير حتى 5 مارس. كما تم الكشف أيضًا عن بيانات من أفراد لديهم ملف تعريف للمرشح للوظيفة.

يشير إشعار على بوابة فرنسا لمساعدة ضحايا الهجمات الإلكترونية إلى أن الأفراد المتأثرين سيتلقون إشعارًا من الوكالة بخصوص انتهاك البيانات الشخصية نتيجة للحادث.

أبلغ France Travail مكتب حماية البيانات في البلاد، اللجنة الوطنية للمعلوماتية والحريات (CNIL)، التي ذكرت أن ما يصل إلى 43 مليون شخص قد يتأثرون.

تشمل أنواع البيانات التي تم كشفها من هذا الهجوم ما يلي:

• الاسم بالكامل

• تاريخ الميلاد

• مكان الميلاد

• رقم الضمان الاجتماعي (NIR)

• معرف France Travail

• عنوان البريد الإلكتروني

• العنوان البريدي

• رقم التليفون

تزيد هذه البيانات من خطر سرقة الهوية والتصيد الاحتيالي للأفراد المعرضين، لذلك يوصي المكتب الأشخاص المحتمل تأثرهم بتوخي الحذر بشكل خاص مع رسائل البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة التي يتلقونها.

أوضح France Travail أن حادثة خرق البيانات لا تؤثر على التفاصيل المصرفية للأشخاص أو كلمات مرور الحساب، لكن CNIL تحذر من أن مجرمي الإنترنت قد يستخدمون ما هو متاح للربط مع نقاط البيانات المفقودة من الانتهاكات الأخرى.

يمكن للمتضررين من حادثة اختراق البيانات في France Travail تقديم شكوى إلى مكتب المدعي العام في باريس للمساعدة في التحقيق.

في أغسطس 2023، تعرض France Travail لاختراق هائل للبيانات، مما أثر على ما يقرب من 10 ملايين فرد.

هذا الحادث بشكل غير مباشر يشير إلى مجموعة برامج الفدية Clop التي اخترقت أنظمة المكتب من خلال استغلال ثغرة أمنية Zero-day في أداة برنامج MOVEit Transfer.

الهجوم الإلكتروني على الوكالة سجل رقمًا قياسيًا جديدًا في فرنسا، حيث يؤثر على أكبر عدد من الأفراد، أكثر من 33 مليون شخص تأثروا باختراق Viamedis وAlmerys في فبراير 2024. 
 

منشئ برنامج التجسس Pegasus قام بالكشف عن الكود المستخدم للتجسس على مستخدمي WhatsApp 

05 مارس 2024

أمر قاض فيدرالي في كاليفورنيا شركة NSO Group لصناعة برامج التجسس بتسليم كود برنامج Pegasus ومنتجات برامج التجسس الأخرى التي تم استخدامها للتجسس على مستخدمي WhatsApp.

منذ عام 2019، كان تطبيق WhatsApp التابع لشركة Meta يواجه شركة NSO في المحكمة، بعد أن زُعم أن برنامج Pegasus تم استخدامه ضد 1400 مستخدم WhatsApp على مدى أسبوعين.

تبرر مجموعة NSO استخدام برنامج Pegasus بالقول إنها أداة مفيدة للتحقيق في الهجمات الإرهابية ومنعها والحفاظ على سلامة الجمهور. ومع ذلك، تفيد الشركة أيضًا إنها تدرك أن بعض العملاء قد يسيئون استخدام قدرات البرنامج لأغراض أخرى.

في وقت سابق من الدعوى القضائية، جادلت مجموعة NSO بأنه يجب الاعتراف بها كعميل لحكومة أجنبية، وبالتالي يحق لها التمتع بالحصانة بموجب القانون الأمريكي الذي يحد من الدعاوى القضائية ضد الدول الأجنبية. تخضع مجموعة NSO لرقابة صارمة من قبل وزارة الدفاع الإسرائيلية، التي تقوم بمراجعة جميع التراخيص للحكومات أو الكيانات الأجنبية والموافقة عليها. ومن المحتمل أيضًا أن يكون هذا هو السبب وراء ادعاء مجموعة NSO بإعفائها من جميع التزامات الاكتشاف في هذه القضية، وذلك بسبب القيود الأمريكية والإسرائيلية المختلفة.

أفادت مجموعة NSO بأنه يجب تقديم معلومات فقط حول طبقة التثبيت لبرنامج Pegasus، ولكن رفضت المحكمة ذلك. أمر القاضي مجموعة NSO بتزويد المدعين بالمعرفة اللازمة لفهم كيفية أداء برامج التجسس ذات الصلة ووظائف الوصول إلى البيانات واستخراجها.

أعلنت WhatsApp أن القرار يعد انتصارًا كبيرًا في مهمتها للدفاع عن مستخدميها ضد الهجمات الإلكترونية. قد يكون هذا صحيحًا إذا أدى الفهم الأفضل لكيفية عمل برامج التجسس إلى تحسينات يمكن أن تحبط إساءة الاستخدام في المستقبل.

ومع ذلك، ليس هذا سببًا لافتراض أن هذا سيضع حدًا لقدرات مجموعة NSO أو رغبتها في التجسس على مستخدمي whatsapp. لا يتعين على مجموعة NSO الكشف عن هوية عملائها، وما عليها إلا تقديم معلومات تتعلق بالوظائف الكاملة لبرامج التجسس ذات الصلة، وتحديدًا لمدة عام واحد قبل الهجوم المزعوم إلى عام واحد بعد الهجمات المزعومة. وتطورت الأمور منذ ذلك الحين.

فرضت الولايات المتحدة عقوبات على مجموعة NSO في عام 2021 بسبب تطويرها وتزويد الحكومات الأجنبية بالأسلحة السيبرانية التي استخدمت هذه الأدوات لاستهداف المسؤولين الحكوميين والصحفيين ورجال الأعمال والناشطين والأكاديميين وموظفي السفارات بشكل ضار.

بعد تلك الفترة، رأينا العديد من الثغرات الجديدة التي تم تسليط الضوء عليها في المتصفحات والتطبيقات الأخرى عبر الإنترنت والتي من المحتمل جدًا أن تستخدمها NSO لاختراق الأجهزة المحمولة.
 

تعرضت شركة Apple لغرامة قدرها 1.95 مليار دولار لمكافحة الاحتكار في الاتحاد الأوروبي بسبب ممارسات متجر التطبيقات
 

04 مارس 2024

انتقدت شركة أبل قرار الاتحاد الأوروبي، معلنة عزمها الطعن فيه أمام المحكمة.

واجهت شركة Apple ضربة كبيرة عندما فرض الاتحاد الأوروبي غرامة مكافحة الاحتكار تزيد على 1.8 مليار يورو (1.95 مليار دولار). تم إصدار هذه العقوبة، وهي الأولى على الإطلاق للشركة بسبب ممارسات مزعومة تعوق المنافسة داخل نظام متجر التطبيقات الخاص بها.

جاء قرار المفوضية الأوروبية نتيجة لشكوى قدمتها عام 2019 خدمة بث الموسيقى السويدية Spotify. واتهمت Spotify شركة Apple بتقييد قدرتها بشكل غير عادل على إبلاغ المستخدمين بخيارات الدفع البديلة خارج متجر التطبيقات، إلى جانب انتقاد رسوم متجر التطبيقات البالغة 30 %. منعت شركة Apple المطورين من إبلاغ المستهلكين بخدمات الموسيقى البديلة والأرخص ثمنًا المتاحة خارج نظامها، وهذا أمر غير قانوني بموجب قواعد مكافحة الاحتكار في الاتحاد الأوروبي.

أفادت Apple أنها انتقدت قرار الاتحاد الأوروبي، معلنة عزمها الطعن فيه أمام المحكمة. ونفت ادعاءات إلحاق الضرر المتعلقة بالمستهلك، مؤكدة الطبيعة المزدهرة والتنافسية للسوق. بالإضافة إلى ذلك، أشارت إلى دور Spotify المهم في النزاع، مؤكدة تفاعلاتها العديدة مع المفوضية الأوروبية أثناء التحقيق. علاوة على ذلك، ذكرت أن الشركة السويدية لا تدفع أي عمولة لشركة Apple؛ لأنها تبيع اشتراكاتها على موقعها الإلكتروني وليس على متجر التطبيقات.

تندرج الغرامة التي فرضها الاتحاد الأوروبي على شركة Apple والأمر بإزالة قيود متجر التطبيقات الخاصة بها ضمن متطلبات قواعد التكنولوجيا الجديدة للاتحاد الأوروبي المعروفة باسم قانون الأسواق الرقمية (DMA) Digital Markets Act والتي يتعين على عملاق التكنولوجيا الالتزام بها.

تهدف شركة Apple إلى تسوية تحقيق آخر لمكافحة الاحتكار في الاتحاد الأوروبي من خلال تقديم أنظمة الدفع عبر الهاتف المحمول الخاصة بها إلى المنافسين. ومن المحتمل أن يقبل المنظمون في الاتحاد الأوروبي، الذين سعوا فيما بعد للحصول على تعليقات من المنافسين والمستخدمين، الموافقة على التسوية دون تغريم الشركة. 
 

تعمل نتائج بحث الذكاء الاصطناعي الجديدة من Google على الترويج لمواقع البرامج الضارة وعمليات الاحتيال
 

25 مارس 2024

خوارزميات تجربة البحث الجديدة المدعومة بالذكاء الاصطناعي من Google توصي بمواقع احتيالية تقوم بإعادة توجيه الزوار إلى إضافات Chrome غير المرغوب فيها، وهدايا iPhone مزيفة، واشتراكات مزعجة في البريد الإلكتروني، واحتيالات دعم التقنية.

بدأت Google في شهر مارس 2024 بتطبيق ميزة جديدة تُدعى تجربة البحث الإنشائية في Google (SGE) في نتائج بحثها، والتي توفر ملخصات سريعة مولدة بالذكاء الاصطناعي لاستفسارات البحث، بما في ذلك توصيات لزيارة مواقع أخرى ذات صلة بالاستفسار.    

ومع ذلك، كما لاحظت مستشارة تحسين محركات البحث Lily Ray، فإن تجربة البحث الإنشائية في Google توصي بمواقع غير موثوقة وضارة داخل استجاباتها الحوارية، مما يجعل من الأسهل على المستخدمين أن يقعوا في الاحتيالات.

وجد أن المواقع المدرجة التي تروج لها SGE تميل إلى استخدام online TLD، نفس قوالب HTML، ونفس المواقع لأداء عمليات إعادة التوجيه.

هذا التشابه يشير إلى أنها جميعًا جزء من نفس حملة التسميم بمحركات البحث SEO التي سمحت لها بأن تكون جزءًا من فهرس Google.

عند النقر على الموقع في نتائج بحث Google، سيخوض الزوار سلسلة من عمليات إعادة التوجيه حتى تصل إلى موقع احتيال.

تقودك عمليات إعادة التوجيه الأكثر شيوعًا إلى مواقع Captchas المزيفة أو YouTube التي تحاول خداع الزائر في الاشتراك في إشعارات المتصفح.

إشعارات المتصفح هي تكتيك شائع يستخدمه المحتالون لإرسال سيل من الإعلانات غير المرغوب فيها مباشرة إلى سطح المكتب لنظام التشغيل، حتى عندما لا تكون على الموقع.

بمجرد أن تقوم بالاشتراك في بعض الإشعارات، تبدأ في تلقي رسائل غير مرغوب فيها تحتوي على إعلانات لاحتيالات الدعم التقني التابعة، وهدايا مزيفة، ومواقع أخرى غير مرغوب فيها.

في إحدى الحالات، قد تتلقى تنبيهًا لبرنامج McAfee المكافح للفيروسات الذي يؤدي إلى موقع يدّعي أن نظامك مصاب بالفيروسات، محثًا الزائر لـ "فحص الآن لإزالة الفيروسات" أو تجديد ترخيصهم.

ومع ذلك، تم تصميم هذه الإعلانات المضللة ببساطة لبيع تراخيص MCAFEE حتى يتمكن المحتالون من كسب عمولات تابعة.

الاحتيالات الأخرى التي يروج لها نتائج تجربة البحث الإنشائية تؤدي إلى هدايا مزيفة على Amazon تتظاهر بأنها برامج ولاء تقدم Apple iPhone 15 Pro من آبل كجائزة.

تُستخدم هذه الاحتيالات لجمع معلوماتك الشخصية، التي ستباع لمحتالين آخرين ومسوقين مباشرين.

ما يجعل الأمر أكثر تعقيدًا هو كيفية تلبية الذكاء الاصطناعي لجوجل لاستفسارات البحث بلغة دردشة، وتشجيع المواقع التي يجب زيارتها للحصول على مزيد من المعلومات. نظرًا لأن تجربة البحث الإنشائية توجه إلى مواقع الويب ضمن الإجابات، يمكن أن تجعل هذه المواقع الضارة تبدو أكثر مصداقية وثقة.

من غير الواضح كيف أن هذه المواقع منخفضة الجودة تجعلها في خوارزميات البحث التي تعمل بالنيابة عن الذكاء الاصطناعي.

ومع ذلك، عندما يصبح الذكاء الاصطناعي جزءًا أكثر أهمية من كيفية بحثنا عبر الإنترنت، أصبح من الواضح بشكل متزايد أنه لا يمكننا الوثوق تلقائيًا بالمعلومات التي تنتجها هذه الخوارزميات ويجب التحقق من المواقع قبل زيارتها.

أفادت Google: نحن مستمرون في تحديث أنظمتنا المتقدمة لمكافحة البريد العشوائي للحفاظ على عدم دخول البريد العشوائي إلى نتائج البحث، ونستخدم هذه الحمايات المضادة للبريد العشوائي لحماية تجربة البحث الإنشائية. "لقد اتخذنا إجراءً بموجب سياساتنا لإزالة الأمثلة المشتركة، والتي كانت تظهر للاستعلامات غير المألوفة".
 

Cisco تصدر تصحيحًا لثغرة VPN Hijacking عالية الخطورة في برنامج Secure Client
 

 08 مارس 2024

 
أصدرت شركة Cisco تصحيحات لمعالجة ثغرة أمنية شديدة الخطورة تؤثر على برنامج Secure Client الخاص بها والذي يمكن استغلاله من قبل المهاجمين لفتح جلسة VPN مع جلسة مستخدم.

وصفت شركة معدات الشبكات الثغرة الأمنية، التي تم تتبعها بالرقم CVE-2024-20337 (درجة CVSS: 8.2)، بأنها تسمح لمهاجم عن بُعد غير مصادق عليه بتنفيذ هجوم (conduct a carriage return line feed - CRLF) ضد المستخدم.

نتيجة لعدم كفاية التحقق من صحة المدخلات المقدمة من المستخدم، يمكن للمهاجم الاستفادة من الثغرة لخداع المستخدم للنقر على رابط معد خصيصًا أثناء إنشاء جلسة VPN.

أفادت الشركة في تقرير: قد يسمح الاستغلال الناجح للمهاجم بتنفيذ تعليمات برمجية عشوائية في المتصفح أو الوصول إلى المعلومات الحساسة المستندة إلى المتصفح، بما في ذلك رمز SAML.

يمكن للمهاجم بعد ذلك استخدام الرمز لإنشاء جلسة VPN عن بُعد مع امتيازات المستخدم المتأثر. ومع ذلك، فإن الأجهزة والخدمات الفردية وراء نقطة النهاية للشبكة الافتراضية الخاصة VPN لا يزال يلزمها اعتمادات إضافية للوصول بنجاح.

تؤثر الثغرة الأمنية على Secure Client لأنظمة التشغيل Windows وLinux وmacOS، وقد تمت معالجتها في الإصدارات التالية –

• Earlier than 4.10.04065 (not vulnerable)

• 4.10.04065 and later (fixed in 4.10.08025)

• 5.0 (migrate to a fixed release)

• 5.1 (fixed in 5.1.2.42)

يعود الفضل إلى الباحث الأمني في أمازون، Paulos Yibelo Mesfin، في اكتشاف الثغرة والإبلاغ عنها، حيث أخبر أن الثغرة تسمح للمهاجمين بالوصول إلى الشبكات الداخلية المحلية عندما يزور موقع ويب تحت سيطرتهم.

نشرت Cisco أيضًا إصلاحات لـ CVE-2024-20338 (درجة CVSS: 7.3)، وهو ثغرة أخرى شديدة الخطورة في Secure Client لنظام التشغيل Linux والذي قد يسمح لمهاجم محلي معتمد برفع الامتيازات على جهاز متأثر. لقد تم حلها في الإصدار 5.1.2.42.

وأفادت: يمكن للمهاجم استغلال هذه الثغرة الأمنية عن طريق نسخ ملف مكتبة ضار إلى دليل محدد في نظام الملفات وإقناع المسؤول بإعادة تشغيل عملية معينة.

قد يسمح استغلال ناجح للمهاجم بتنفيذ تعليمات برمجية عشوائية على جهاز متأثر يتمتع بامتيازات المسؤول.
 

ثغرة حرجة في Fortinet تؤثر على 150000 جهاز وتعرضها للخطر
 

 08 مارس 2024
 
 

تظهر عمليات المسح على الويب العام أن ما يقرب من 150000 نظام من منتجات Fortinet FortiOS وFortiProxy لأنظمة الويب الآمنة معرضة لـCVE-2024-21762، وهي ثغرة أمنية حرجة تسمح بتنفيذ التعليمات البرمجية دون مصادقة.

أكدت وكالة الدفاع السيبراني الأمريكية CISA الشهر الماضي أن المهاجمين يستغلون الثغرة بشكل نشط من خلال إضافته إلى كتالوج الثغرات المستغلة المعروفة (Known Exploited Vulnerabilities - KEV).

بالنسبة للإصدارات الضعيفة في جميع أنحاء العالم أخبر Piotr Kijewski من Shadowserver أن عمليات الفحص الخاصة بهم تتحقق من وجود إصدارات ضعيفة، لذلك قد يكون عدد الأجهزة المتأثرة أقل إذا قام المسؤولون بتطبيق عمليات التخفيف بدلاً من الترقية.
 

يمكن للمهاجم عن بُعد استغلال CVE-2024-21762 (درجة الخطورة 9.8 وفقًا لـ NIST) عن طريق إرسال طلبات HTTP مُصممة خصيصًا إلى الأجهزة المعرضة للخطر.

ووفقا لبيانات Shadowserver، فإن الأجهزة الأكثر عرضة للخطر، أكثر من 24000، موجودة في الولايات المتحدة، تليها اليابان والهند والبرازيل وكندا.

التفاصيل حول المهاجمين الذين يستغلون CVE-2024-21762 بشكل نشط محدودة حاليًا، حيث لا تظهر المنصات العامة مثل هذا النشاط أو يتم استغلال الثغرة الأمنية في هجمات محددة من قبل مهاجمين أكثر تطورًا.

يمكن للشركات التحقق مما إذا كانت أنظمة SSL VPN الخاصة بها عرضة لهذه المشكلة عن طريق تشغيل نص Python البرمجي البسيط الذي طوره باحثون في شركة الأمن الهجومي BishopFox.

FortiOS هو نظام تشغيل Fortinet مزود بميزات أمان مثل الحماية ضد هجمات حجب الخدمة (DoS)، ومنع التطفل (IPS)، وجدار الحماية firewall، وخدمات VPN.

فهو يعمل على تشغيل جميع أجهزة Fortinet Security Fabric، بدءًا من جدران الحماية ووصولاً إلى نقاط الوصول والمحولات ومنتجات التحكم في الوصول إلى الشبكة، مما يوفر الرؤية والتحكم والإدارة المركزية عبر الشبكة والنشر المتسق وإنفاذ السياسات الأمنية.

FortiProxy هو وكيل ويب آمن يتمتع بقدرات الحماية ضد التهديدات المستندة إلى الويب والتهديدات المستندة إلى DNS وفقدان البيانات. فهو يدمج برنامج مكافحة الفيروسات ومنع التطفل وعزل متصفح العميل.

تعمل VMware على إصلاح ثغرات حرجة في ESXi وWorkstation وFusion
 

06 مارس 2024

أصدرت شركة VMware تحديثات أمنية لإصلاح ثغرات أمنية خطيرة في Sandbox Escape في منتجات VMware ESXi وWorkstation وFusion وCloud Foundation، مما يسمح للمهاجمين بالهروب من الأجهزة الافتراضية والوصول إلى نظام التشغيل المضيف.

تعد هذه الأنواع من الثغرات بالغة الأهمية؛ لأنها قد تسمح للمهاجمين بالوصول غير المصرح به إلى النظام المضيف حيث تم تثبيت برنامج Hypervisor أو الوصول إلى الأجهزة الافتراضية الأخرى التي تعمل على نفس المضيف، مما يؤدي إلى انتهاك عزلتها.

تحدد الاستشارة أربع ثغرات، تم تتبعها على أنها CVE-2024-22252، وCVE-2024-22253، وCVE-2024-22254، وCVE-2024-22255، مع درجات CVSS v3 تتراوح من 7.1 إلى 9.3، ولكن جميعها بتقييم خطورة حرج.

ويمكن تلخيص الثغرات الأربع فيما يلي:

• CVE-2024-22252 وCVE-2024-22253: ثغرتان Use-after free في وحدات تحكم XHCI وUHCI USB (على التوالي)، مما يؤثر على Workstation/Fusion وESXi. يتطلب الاستغلال امتيازات إدارية محلية على جهاز افتراضي ويمكن أن يسمح للمهاجم بتنفيذ التعليمات البرمجية كعملية VMX الخاصة بالجهاز الافتراضي على المضيف. في Workstation وFusion، قد يؤدي ذلك إلى تنفيذ التعليمات البرمجية على الجهاز المضيف.

• CVE-2024-22254: ثغرة Out-of-bounds write في ESXi تسمح للمهاجم الذي يتمتع بامتيازات عملية VMX بالكتابة خارج منطقة (حدود) الذاكرة المحددة مسبقًا، مما قد يؤدي إلى الهروب من وضع الحماية.

• CVE-2024-22255: مشكلة الكشف عن المعلومات في وحدة تحكم UHCI USB التي تؤثر على ESXi وWorkstation وFusion. قد تسمح مشكلة عدم الحصانة هذه لمهاجم يتمتع بحق الوصول الإداري إلى جهاز افتراضي بتسريب الذاكرة من عملية VMX.

يتم إدراج منتجات الإصدارات المتأثرة والإصدارات الثابتة في الجدول أدناه:

تطلق Ivanti إصلاحًا عاجلاً لثغرة أمنية حرجة (RCE) 
 

 21مارس 2024



  

كشفت Ivanti تفاصيل ثغرة حرجة في تنفيذ الشفرة عن بُعد يؤثر على Standalone Sentry، داعية العملاء إلى تطبيق التصحيحات على الفور للحماية ضد التهديدات السيبرانية المحتملة.

تم تتبع الثغرة تحت رمز CVE-2023-41724، وتحمل درجة تقييم CVSS بقيمة 9.6 

كما ذكرت الشركة: يمكن لمهاجم غير مصرح له تنفيذ أوامر برمجية على نظام التشغيل الأساسي للجهاز ضمن الشبكة الفيزيائية أو المنطقية نفسها.

وتؤثر الثغرة على جميع الإصدارات المدعومة 9.17.0و 9.18.0 و9.19.0، بالإضافة إلى الإصدارات الأقدم. وأفادت الشركة أنها أتاحت تصحيحًا (الإصدارات   9.17.1و 9.18.1 و9.19.1،) يمكن تنزيله عبر بوابة التنزيل القياسية.

ونسبت الفضل إلى Vincent Hutsebaut وPierre Vivegnis وJerome Nokin وRoberto Suggi Liverani وAntonin B من مركز الأمن السيبراني التابع لحلف شمال الأطلسي لتعاونهم في هذه القضية.

وأكدت Ivanti أنها ليست على علم بأي عملاء تأثروا بالثغرة CVE-2023-41724، وأضافت أن المهاجمين الذين ليس لديهم شهادة عميل TLS صالحة مسجلة من خلال EPMM لا يمكنها استغلال هذه الثغرة مباشرة على الإنترنت.

تعرضت الثغرات الأمنية التي تم الكشف عنها مؤخرًا في برنامج Ivanti للاستغلال من قبل ما لا يقل عن ثلاث مجموعات تجسس إلكترونية مختلفة مرتبطة بالصين تم تتبعها تحت أسماء UNC5221 وUNC5325 وUNC3886، وفقًا لـ Mandiant.

يأتي هذا التطوير في الوقت الذي كشفت فيه SonarSource عن ثغرة في البرمجة النصية عبر المواقع (mXSS) يؤثر على عميل بريد إلكتروني مفتوح المصدر يسمى Mailspring ويعرف أيضًا باسم Nylas Mail (CVE-2023-47479) والذي يمكن استغلاله لتجاوز إجراءات الحماية وسياسة أمان المحتوى (CSP). وتنفيذ التعليمات البرمجية عندما يقوم المستخدم بالرد على رسالة بريد إلكتروني ضارة أو إعادة توجيهها.

الباحث الأمني  Yaniv Nizry أفاد: يستفيد mXSS من ذلك من خلال توفير حمولة تبدو طبيعية في البداية عند التحليل (أثناء عملية التنقية) ولكنها تحولها إلى حمولة ضارة عند إعادة التحليل (في المرحلة النهائية من عرض المحتوى).
 

اكتشاف ثغرات متعددة من قبل باحثين في ملحقات ChatGPT
 

 14مارس 2024

قام الباحثون بتحليل مكونات ملحقات ChatGPT واكتشفوا عدة أنواع من الثغرات التي قد تؤدي إلى الكشف عن البيانات والاستيلاء على الحسابات.

اكتشف باحثون من شركة Salt Security ثلاثة أنواع من الثغرات الأمنية في المكونات الإضافية لـ ChatGPT والتي يمكن أن تؤدي إلى الكشف عن البيانات والاستيلاء على الحساب.

تعد مكونات ChatGPT الإضافية أدوات أو ملحقات إضافية يمكن دمجها مع ChatGPT لتوسيع وظائفه أو تحسين جوانب معينة من تجربة المستخدم. قد تتضمن هذه المكونات الإضافية ميزات جديدة لمعالجة اللغة الطبيعية، وإمكانيات البحث، والتكامل مع الخدمات أو الأنظمة الأساسية الأخرى، وأدوات تحليل النص، والمزيد. بشكل أساسي، تسمح المكونات الإضافية للمستخدمين بتخصيص تجربة ChatGPT وتكييفها وفقًا لاحتياجاتهم الخاصة.

يمكن أن تسمح المكونات الإضافية للمستخدمين بالتفاعل مع خدمات الجهات الخارجية مثل Github، وGoogle Drive، وSaleforce. 

باستخدام المكونات الإضافية، يسمح المستخدمون لـ ChatGPT بنقل البيانات الحساسة إلى خدمات الطرف الثالث. في بعض الحالات، يتضمن ذلك منحهم حق الوصول إلى حساباتهم الخاصة على الأنظمة الأساسية التي يحتاجون إلى التفاعل معها.

تكمن الثغرة الأولى التي اكتشفها الباحثون في ChatGPT وترتبط بمصادقة OAuth، ويمكن استغلالها لتثبيت مكونات إضافية ضارة على مستخدمي ChatGPT. 

يمكن للمهاجم كتابة مكون إضافي خاص به، والذي يخبر ChatGPT بإعادة توجيه أي بيانات دردشة تقريبًا إلى هذا المكون الإضافي، وبعد ذلك من خلال استغلال ثغرة أمنية في ChatGPT، يمكنه تثبيت هذا المكون الإضافي الضار على حساب الضحية.

نظرًا لأن المهاجم هو مالك هذا المكون الإضافي، فيمكنه رؤية بيانات الدردشة الخاصة للضحية، والتي قد تتضمن بيانات الاعتماد أو كلمات المرور أو البيانات الحساسة الأخرى.

الثغرة الثانية هي الاستيلاء على الحساب دون الحاجة لأي تفاعل من المستخدم، وتؤثر على العديد من المكونات الإضافية. يمكن للمهاجم استغلال هذه الثغرة للاستيلاء على حساب المؤسسة على مواقع الويب الخارجية مثل GitHub.

تكمن الثغرة في المكون الإضافي AskTheCode الذي طورته شركة PluginLab.AI، والذي يسمح للمستخدمين بالوصول إلى مستودعات GitHub الخاصة بهم.

'AskTheCode' وهو مكون إضافي تم تطويره باستخدام PluginLab.AI والذي يتيح لك طرح أسئلة حول مستودعات GitHub الخاصة بك، مما يعني أن المستخدمين الذين يستخدمون هذا البرنامج الإضافي، منحوه حق الوصول إلى مستودعات GitHub الخاصة بهم. 

الاستيلاء على الحساب على AskTheCode يعني أن المهاجمين يمكنهم الوصول إلى مستودعات GitHub لأي مستخدم يستخدم هذا البرنامج الإضافي.

الثغرة الأمنية الثالثة هي معالجة إعادة توجيه OAuth والتي تؤثر على العديد من المكونات الإضافية. أظهر الباحثون الهجوم على البرنامج المساعد Charts بواسطة Kesem AI. مثل النوع الأول من الثغرة الأمنية، يمكن استغلال هذه المشكلة عن طريق خداع المستخدم للنقر على رابط معد خصيصًا.

أبلغت Salt Labs عن الثغرات الأمنية إلى PluginLab.AI وKesemAI التي قامت بمعالجتها.

'كما ذكرنا سابقًا، فإن GPTs هي الإصدار التالي من المكونات الإضافية، ويمكنك قراءة المزيد حول هذه الميزة هنا: https://openai.com/blog/introducing-gpts. في الأساس، هذه هي نفس مفهوم المكونات الإضافية ولكن مع بروتوكولات الأمان المحسنة. 

تمثل GPTs تحسينًا كبيرًا في الأمان مقارنة بالمكونات الإضافية، مما يعالج بشكل فعال غالبية المخاوف التي تم تسليط الضوء عليها في هذه المناقشة. ومع ذلك، يجب على المستخدمين أن يظلوا يقظين بشأن المخاطر المحتملة.

برامج الفدية وأبرز هجماتها في عام 2023
  

كان هناك وقت تُثير فيه أي حادثة فدية إلكترونية ردود فعل نشطة من الصحافة والجمهور. وبالانتقال سريعًا إلى الوقت الحاضر، نجد أن كلمة 'برامج الفدية' في العنوان الرئيس لا تولد نفس القدر من الاهتمام: فقد أصبحت مثل هذه الهجمات شائعة. ومع ذلك، فإنها لا تزال تشكل تهديدا خطيرا لأمن الشركات. تسلط هذه المراجعة الضوء على أكبر وأبرز الأحداث التي وقعت في عام 2023.

يناير 2023: هجوم LockBit على البريد الملكي في المملكة المتحدة
بدأ العام بمهاجمة مجموعة LockBit للبريد الملكي، الخدمة البريدية الوطنية في المملكة المتحدة. أدى الهجوم إلى شل عملية تسليم البريد الدولي؛ مما أدى إلى بقاء ملايين الرسائل والطرود عالقة في نظام الشركة. علاوة على ذلك، تم أيضًا تعطيل موقع تتبع الطرود ونظام الدفع عبر الإنترنت والعديد من الخدمات الأخرى؛ وفي مركز توزيع البريد الملكي في أيرلندا الشمالية، بدأت الطابعات في توزيع نسخ من مذكرة الفدية البرتقالية المميزة لمجموعة LockBit.
وكما هو الحال عادةً مع هجمات برامج الفدية الحديثة، هددت LockBit بنشر البيانات المسروقة عبر الإنترنت ما لم يتم دفع الفدية. رفض البريد الملكي الدفع، لذلك انتهى الأمر بنشر البيانات.

فبراير 2023: ESXiArgs تهاجم خوادم VMware ESXi في جميع أنحاء العالم
شهد شهر فبراير هجومًا آليًا ضخمًا لبرنامج فدية ESXiArgs على المؤسسات من خلال ثغرة RCE CVE-2021-21974 الموجودة في خوادم  VMware ESXi على الرغم من أن VMware  أصدر تصحيحًا لهذه الثغرة الأمنية في أوائل عام 2021، فإن الهجوم ترك أكثر من 3000 خادم VMware ESXi مشفرًا.
طالب مشغلو الهجوم بما يزيد قليلاً عن 2 BTC (حوالي 45000 دولار في وقت الهجوم). ولكل ضحية على حدة، قاموا بإنشاء محفظة بيتكوين جديدة ووضعوا عنوانها في مذكرة الفدية.
بعد أيام قليلة من بدء الهجوم، أطلق مجرمو الإنترنت العنان لسلالة جديدة من البرمجيات الخبيثة، مما جعل استعادة الأجهزة الافتراضية المشفرة أكثر صعوبة. ولجعل تتبع أنشطتهم أكثر صعوبة، توقفوا أيضًا عن إعطاء عناوين محفظة الفدية، مما دفع الضحايا إلى إجراء اتصالات عبر برنامج P2P messenger Tox بدلاً من ذلك.

مارس 2023: مجموعة Clop تستغل على نطاق واسع ثغرة اليوم في GoAnywhere MFT
في مارس 2023، بدأت مجموعة Clop في استغلال ثغرة حديثة على نطاق واسع في أداةFortra’s GoAnywhere MFT (managed file transfer). تشتهر Clop بميلها إلى استغلال الثغرات الأمنية في مثل هذه الخدمات: في أواخر عام 2021، هاجمت المجموعة المنظمات من خلال استغلال ثغرة أمنية في SolarWinds Serv-U.
في المجمل، عانت أكثر من 100 مؤسسة من هجمات على خوادم GoAnywhere MFT المصابة بالثغرة، بما في ذلك Procter & Gamble، ومدينة تورونتو، وCommunity Health Systems - أحد أكبر مقدمي الرعاية الصحية في الولايات المتحدة.

أبريل 2023: تم تعطيل محطات نقاط البيع التابعة لشركة NCR Aloha بسبب هجوم BlackCat
في شهر أبريل، هاجمت مجموعة ALPHV (المعروفة أيضًا باسم BlackCat) شركة NCR، وهي شركة أمريكية مصنعة ومزودة بأجهزة الصراف الآلي وأجهزة قراءة الباركود ومحطات الدفع وغيرها من معدات البيع بالتجزئة والخدمات المصرفية.
أدى هجوم برنامج الفدية إلى إغلاق مراكز البيانات التي تتعامل مع منصة Aloha POS والتي تُستخدم في المطاعم، وخاصة الوجبات السريعة – لعدة أيام.
في الأساس، تعد المنصة بمثابة متجر شامل لإدارة عمليات تقديم الطعام: بدءًا من معالجة المدفوعات، وتلقي الطلبات عبر الإنترنت، وتشغيل برنامج الولاء، وصولاً إلى إدارة إعداد الأطباق في المطبخ وحاسبات الرواتب. نتيجة لهجوم برامج الفدية على شركة NCR، اضطرت العديد من مؤسسات تقديم الطعام إلى العودة إلى استخدام القلم والورق.

مايو 2023: هجوم برنامج الفدية الملكي على مدينة دالاس
شهد أوائل شهر مايو هجومًا ببرامج الفدية على الخدمات البلدية في دالاس، تكساس - المدينة التاسعة من حيث عدد السكان في الولايات المتحدة. وكانت أنظمة تكنولوجيا المعلومات والاتصالات التابعة لقسم شرطة دالاس الأكثر تضررًا، وبدأت الطابعات على شبكة مدينة دالاس في إصدار ملاحظات الفدية.
وفي وقت لاحق من ذلك الشهر، وقع هجوم آخر ببرنامج فدية على بلدية حضرية: كان الهدف هذه المرة مدينة أوغستا في ولاية جورجيا الأمريكية، وكان مرتكبو الهجوم مجموعة BlackByte.

يونيو 2023: شنت مجموعة Clop هجمات واسعة النطاق من خلال الثغرة الأمنية في MOVEit Transfer
في يونيو، بدأت نفس مجموعة Clop المسؤولة عن هجمات فبراير على Fortra GoAnywhere MFT في استغلال ثغرة أمنية في أداة أخرى لنقل الملفات المُدارة MOVEit Transfer التابعة لشركة Progress Software. تم الكشف عن هذه الثغرة الأمنية، CVE-2023-34362، بواسطة Progress في اليوم الأخير من شهر مايو، ولكن كالعادة، لم يتمكن جميع العملاء من تطبيق التصحيحات بسرعة كافية.
أثر هجوم برامج الفدية هذا - أحد أكبر حوادث العام - على العديد من المنظمات، بما في ذلك شركة النفط شل، ووزارة التعليم في مدينة نيويورك، ومؤسسة بي بي سي الإعلامية، وسلسلة الصيدليات البريطانية بوتس، وشركة الطيران الأيرلندية إير لينجوس، وجامعة جورجيا، والشركة الألمانية المصنعة لمعدات الطباعة Heidelberger Druckmaschinen.

يوليو 2023: جامعة هاواي تدفع فدية لمجموعة NoEscape
في يوليو، اعترفت جامعة هاواي بدفع أموال لبرامج الفدية. وقع الحادث نفسه قبل شهر من ذلك عندما كانت كل الأنظار منصبة على الهجمات على MOVEit. خلال تلك الفترة، قامت مجموعة جديدة نسبيًا تحمل اسم NoEscape بإصابة أحد أقسام الجامعة، كلية المجتمع في هاواي، ببرامج الفدية.
وبعد سرقة 65 جيجابايت من البيانات، هدد المهاجمون الجامعة بالنشر. يبدو أن المعلومات الشخصية لـ 28000 شخص كانت معرضة للخطر. وكانت هذه الحقيقة هي التي أقنعت الجامعة بدفع الفدية للمبتزين.
تجدر الإشارة إلى أن موظفي الجامعة اضطروا إلى إغلاق أنظمة تكنولوجيا المعلومات مؤقتًا لمنع انتشار برامج الفدية. على الرغم من أن مجموعة NoEscape قدمت مفتاح فك التشفير عند دفع الفدية، فإنه كان من المتوقع أن تستغرق استعادة البنية التحتية لتكنولوجيا المعلومات شهرين.

أغسطس 2023: Rhysida يستهدف قطاع الرعاية الصحية
تميز أغسطس بسلسلة من الهجمات التي قامت بها مجموعة Rhysida Ransomware في قطاع الرعاية الصحية. وكانت شركةProspect Medical Holdings (PMH) ، التي تدير 16 مستشفى و 165 عيادة في العديد من الولايات الأمريكية، كانت المنظمة التي عانت أكثر من غيرها.
ادعى المهاجمون أنهم سرقوا 1 تيرابايت من مستندات الشركة وقاعدة بيانات SQL بسعة 1.3 تيرابايت التي تحتوي على 500000 رقم ضمان اجتماعي، وجوازات السفر، وتراخيص القيادة، والسجلات الطبية للمرضى، وكذلك المستندات المالية والقانونية. طالب مجرمو الإنترنت بقدية قدرها  50BTC (حوالي 1.3 مليون دولار).

سبتمبر 2023: هجوم BlackCat على كازينوهات Caesars وMGM
في أوائل شهر سبتمبر، ظهرت أخبار عن هجوم ببرامج الفدية على اثنتين من كبرى سلاسل الفنادق والكازينوهات في الولايات المتحدة - Caesars وMGM - بضربة واحدة. كانت وراء الهجمات مجموعة ALPHV/BlackCat، التي هاجمت منصة NCR Aloha POS.
أدى الحادث إلى إغلاق البنية التحتية بالكامل للشركات – بدءًا من أنظمة تسجيل الوصول في الفنادق وحتى ماكينات القمار. ومن المثير للاهتمام أن الضحايا استجابوا بطرق مختلفة للغاية. قرر سيزار أن يدفع للمبتزين مبلغ 15 مليون دولار، أي نصف المبلغ الأصلي البالغ 30 مليون دولار.
اختارت MGM عدم الدفع، بل استعادت البنية التحتية بنفسها. استغرقت عملية الاسترداد تسعة أيام، خسرت خلالها الشركة 100 مليون دولار (تقديرها الخاص)، منها 10 ملايين دولار عبارة عن تكاليف مباشرة تتعلق باستعادة أنظمة تكنولوجيا المعلومات المعطلة.

أكتوبر 2023: مجموعة BianLian تبتز شركة طيران كندا
بعد شهر، استهدفت مجموعة BianLian شركة الطيران الكندية، طيران كندا. يزعم المهاجمون أنهم سرقوا أكثر من 210 جيجابايت من المعلومات المتنوعة، بما في ذلك بيانات الموظفين/الموردين والمستندات السرية. وعلى وجه الخصوص، تمكن المهاجمون من سرقة معلومات حول الانتهاكات الفنية والقضايا الأمنية لشركة الطيران.

نوفمبر 2023: مجموعة LockBit تستغل ثغرة Citrix Bleed
اشتهر شهر نوفمبر بثغرة Citrix Bleed التي استغلتها مجموعة LockBit. على الرغم من نشر التصحيحات لهذه الثغرة الأمنية قبل شهر، فإنه ظل أكثر من 10000 خادم يمكن الوصول إليه بشكل عام عرضة للخطر. وهذا ما استغله برنامج الفدية LockBit لاختراق أنظمة العديد من الشركات الكبرى وسرقة البيانات وتشفير الملفات.
من بين الضحايا شركة بوينج، التي انتهى المهاجمون إلى نشر بياناتها المسروقة دون انتظار دفع الفدية. كما ضرب برنامج الفدية البنك الصناعي والتجاري الصيني (ICBC)، وهو أكبر بنك تجاري في العالم.
ألحق الحادث أضرارا بالغة بشركة DP World في استراليا، وهي شركة لوجستية كبرى مقرها الإمارات العربية المتحدة تدير العشرات من المواني ومحطات الحاويات في جميع أنحاء العالم. أدى الهجوم على أنظمة تكنولوجيا المعلومات في مواني DP World أستراليا إلى تعطيل عملياتها اللوجستية بشكل كبير، مما أدى إلى تقطع السبل بنحو 30 ألف حاوية في المواني الأسترالية.

ديسمبر 2023: استولت سلطات إنفاذ القانون على البنية التحتية لـ ALPHV/BlackCat
قرب نهاية العام، أدت عملية مشتركة قام بها مكتب التحقيقات الفيدرالي ووزارة العدل الأمريكية وEuropol ووكالات إنفاذ القانون في العديد من الدول الأوروبية إلى حرمان مجموعة برامج الفدية ALPHV/BlackCat من السيطرة على بنيتها التحتية. وبعد اختراقه، قاموا بمراقبة تصرفات مجرمي الإنترنت بهدوء لعدة أشهر، وجمعوا مفاتيح فك تشفير البيانات ومساعدة ضحايا BlackCat.
بهذه الطريقة، خلصت الوكالات أكثر من 500 منظمة في جميع أنحاء العالم من تهديد الفدية ووفرت حوالي 68 مليون دولار من المدفوعات المحتملة. وأعقب ذلك في ديسمبر عملية استحواذ نهائية على الخوادم، مما أدى إلى إنهاء عمليات BlackCat.
كما تم الإعلان عن إحصائيات مختلفة حول عمليات مجموعة برامج الفدية. وفقًا لمكتب التحقيقات الفيدرالي، خلال عامين من نشاطها، اخترقت ALPHV/BlackCat أكثر من ألف منظمة، وطالبت الضحايا بمبلغ إجمالي يزيد على 500 مليون دولار، وتلقت حوالي 300 مليون دولار كدفعات فدية.