الأمن السيبراني
#الأمن_السيبراني
#اختراق
قراصنة يستغلون تطبيقات اختبار الأمان لاختراق شركات كبرى
يستغل القراصنة والجهات الفاعلة في مجال التهديدات الإلكترونية تطبيقات الويب سيئة التكوين، والمخصصة أصلاً للتدريب الأمني واختبارات الاختراق الداخلية، للوصول إلى البيئات السحابية الخاصة بشركات مدرجة ضمن قائمة "Fortune 500" ومزودي خدمات الأمان.
وكشف تحقيق أجرته شركة "Pentera" المتخصصة في اختبارات الاختراق الآلية، أن المهاجمين يستخدمون تطبيقات مثل DVWA وOWASP Juice Shop وHackazon وbWAPP كنقاط دخول لاختراق الأنظمة. وتُعتبر هذه التطبيقات مصابة بالثغرات "عمداً" لأغراض التدريب، مما يجعلها تشكل خطراً جسيماً عند كشفها على الإنترنت العام وتشغيلها عبر حسابات سحابية ذات امتيازات عالية.
آلاف التطبيقات المكشوفة
وجد باحثو Pentera ما يقرب من 1,926 تطبيقاً نشطاً ومصاباً بالثغرات مكشوفاً على الويب العام. وكما تظهر الصورة المرفقة، ترتبط هذه التطبيقات غالباً بأدوار إدارة الهوية والوصول (IAM) ذات الامتيازات المفرطة، ويتم نشرها على بيئات سحابية مثل AWS وGCP وAzure.
ووفقاً للتقرير، تعود بعض هذه التطبيقات لشركات كبرى بما في ذلك Cloudflare وF5 وPalo Alto Networks، والتي تلقت نتائج الباحثين وقامت بإصلاح المشكلات فوراً. وقد كشفت العديد من هذه الحالات عن مجموعات من بيانات الاعتماد السحابية، ولم تتبع ممارسات "الامتيازات الأقل"، وفي أكثر من نصف الحالات، كانت لا تزال تستخدم بيانات الاعتماد الافتراضية، مما يسهل عملية الاستيلاء عليها.
وأشار الباحثون إلى أن بيانات الاعتماد المكتشفة يمكن أن تمنح المهاجمين وصولاً كاملاً إلى خدمات التخزين السحابي المختلفة، وإذن القراءة والكتابة لمديري الأسرار، والقدرة على التفاعل مع سجلات الحاويات، والحصول على وصول إداري للبيئة السحابية.
استغلال نشط وتعدين عملات
أكدت مختبرات Pentera في تقريرها أن الخطر ليس نظرياً، حيث اكتشفت أدلة واضحة على أن المهاجمين يستغلون متجهات الهجوم هذه بنشاط في الواقع. ويقوم القراصنة بنشر برمجيات لتعدين العملات الرقمية، وأدوات "webshells"، وآليات للاستمرار داخل الأنظمة المخترقة.
ومن بين 616 مثيلاً لتطبيق DVWA تم اكتشافه، وجد أن حوالي 20% منها تحتوي على آثار نشرتها جهات خبيثة. وقد استخدم نشاط تعدين العملات الرقمية أداة XMRig لتعدين عملة "مونيرو" (XMR) في الخلفية.
آليات تثبيت الاختراق
عثر الباحثون أيضاً على آلية متقدمة للاستمرار باستخدام برنامج نصي يسمى "watchdog.sh". المثير للاهتمام هو أنه في حال حذف هذا البرنامج، فإنه يعيد استعادة نفسه من نسخة احتياطية مشفرة ويقوم بتحميل أداة التعدين XMRig مرة أخرى، كما يقوم بقتل أي برامج تعدين منافسة موجودة على الجهاز المخترق.
وفي حالات أخرى، تم نشر "webshell" بلغة PHP يدعم إجراءات الملفات وتنفيذ الأوامر، مع ضبط المنطقة الزمنية على توقيت أوروبا/مينسك، مما قد يكون إشارة حول مصدر المشغلين.
وتوصي Pentera المؤسسات بالحفاظ على مخزون شامل لجميع الموارد السحابية، بما في ذلك تطبيقات الاختبار، وعزلها عن بيئات الإنتاج، بالإضافة إلى فرض أدوار IAM ذات الامتيازات الأقل وتغيير بيانات الاعتماد الافتراضية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!