باحث يكتشف ثغرة تمكنه من اختراق أكثر من 35 شركة تقنية!!
حيروت – متابعات
اكتشف الباحث الأمني أليكس بيرسان (Alex Birsan) ثغرة أمنية سمحت له بتشغيل التعليمات البرمجية عبر خوادم أكثر من 35 شركة تقنية، ومن ضمنها آبل ومايكروسوفت وباي بال ونيتفليكس وشوبيفاي وتيسلا وأوبر.
ويعتبر الاستغلال بسيطًا بشكل مخادع، وهو أمر يتعين على العديد من مطوري البرامج الكبار معرفة كيفية حماية أنفسهم منه.
ويستفيد الاستغلال من خدعة بسيطة نسبيًا تتمثل في استبدال الحزم الخاصة بأخرى عامة.
وعندما تقوم الشركات ببناء برامج، فإنها غالبًا ما تستخدم تعليمات برمجية مفتوحة المصدر مكتوبة من أشخاص آخرين، لذا فهم لا يقضون الوقت والموارد في حل مشكلة تم حلها بالفعل.
ويمكن العثور على هذه البرامج المتاحة للجمهور في مستودعات، مثل: npm و PyPi و RubyGems.
ومن الجدير بالذكر أن بيرسان وجد أن هذه المستودعات يمكن استخدامها لتنفيذ هذا الهجوم، لكن الأمر لا يقتصر على الثلاثة فقط.
وبالإضافة إلى هذه الحزم العامة، غالبًا ما تقوم الشركات ببناء حزم خاصة بها، التي لا تقوم بتحميلها، لكن بدلاً من ذلك توزعها بين مطوريها، ومن هنا وجد بيرسان الثغرة.
واكتشف بيرسان ما إذا كان بإمكانه العثور على أسماء الحزم الخاصة التي تستخدمها الشركات، وهي مهمة اتضح أنها سهلة للغاية في معظم الحالات.
وكان بإمكانه تحميل التعليمات البرمجية الخاص به إلى أحد المستودعات العامة التي تحمل الاسم نفسه، وتستخدم الأنظمة الآلية للشركات تعليماته البرمجية بدلاً من ذلك.
ولن تقوم الشركات بتنزيل الحزمة الخاصة به بدلاً من الحزمة الصحيحة فقط، بل تقوم أيضًا بتشغيل التعليمات البرمجية بداخلها.
ويبدو أن الشركات اتفقت على أن المشكلة خطيرة، وفي رسالته عبر منصة Medium، كتب بيرسان أن غالبية مكافآت الأخطاء الممنوحة تم تحديدها بالحد الأقصى المسموح به بموجب سياسة كل برنامج، وأحيانًا أعلى.
وحصل الباحث على أكثر من 130 ألف دولار من مكافآت الأخطاء، وذلك بالنظر إلى جهوده البحثية الأخلاقية.
ووفقًا لبيرسان، تمكنت معظم الشركات التي اتصل بها بشأن الاستغلال من تصحيح أنظمتها بسرعة حتى لا تكون عرضة للخطر.
وقدمت مايكروسوفت مستندًا تقنيًا يشرح كيف يمكن لمسؤولي النظام حماية الشركات من هذه الأنواع من الهجمات، لكن من المدهش أن الأمر استغرق كل هذا الوقت حتى يدرك شخص ما أن هذه الشركات الضخمة كانت عرضة لهذا النوع من الهجمات.
المصدر : وكالات