كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة تم إصلاحها مؤخرًا في منصة Google Cloud Platform (GCP)، كان من الممكن أن تسمح للمهاجمين بترقية صلاحياتهم ضمن خدمة Cloud Composer، وهي خدمة تنسيق سير العمل المبنية على Apache Airflow.
وأوضح “ليف ماتان”، كبير الباحثين الأمنيين في شركة Tenable، في تقرير خاص:
“تسمح هذه الثغرة للمهاجمين الذين يمتلكون صلاحيات التحرير في Cloud Composer بتصعيد صلاحياتهم إلى حساب خدمة Cloud Build الافتراضي، الذي يمتلك بدوره صلاحيات عالية على خدمات GCP مثل Cloud Build وCloud Storage وArtifact Registry.”
اسم الثغرة: ConfusedComposer
أطلقت شركة Tenable على الثغرة اسم ConfusedComposer، ووصفتها بأنها إصدار جديد من ثغرة سابقة تُدعى ConfusedFunction، والتي استهدفت خدمة Cloud Functions في GCP، وكانت تسمح بالوصول غير المصرح به إلى بيانات وخدمات حساسة.
جاء هذا الكشف بعد أسابيع فقط من إعلان Tenable عن ثغرة مشابهة في خدمة GCP Cloud Run تُعرف باسم ImageRunner، والتي كان من الممكن أن تتيح للمهاجمين الوصول إلى صور الحاويات (Container Images) وحقن شيفرات خبيثة بداخلها.
كيف تعمل الثغرة؟
تستغل الثغرة إذن التعديل على بيئة Cloud Composer، بحيث يمكن للمهاجم حقن حزمة PyPI خبيثة (Python Package Index) تقوم بتصعيد الصلاحيات عبر Cloud Build.
تعتمد الهجمة على قدرة المهاجم على تثبيت حزم PyPI مخصصة داخل بيئة Cloud Composer، مما يسمح له بتنفيذ شيفرات عشوائية على حساب Cloud Build المرتبط.
يقول ماتان:
“تكمن أهمية ثغرة ConfusedComposer في أنها تُظهر كيف يمكن استغلال التفاعلات الخلفية بين خدمات السحابة لتصعيد الصلاحيات. فببساطة، يحتاج المهاجم فقط إلى صلاحية تحديث بيئة Composer للوصول إلى خدمات حيوية مثل Cloud Storage وArtifact Registry.”
مخاطر استغلال الثغرة
-
تسريب بيانات حساسة
-
تعطيل الخدمات
-
حقن شيفرات خبيثة ضمن بيئة CI/CD
-
نشر أبواب خلفية تتيح وصولًا دائمًا إلى البيئة السحابية
الإجراءات التصحيحية من Google
بعد إبلاغ Tenable عن الثغرة، أعلنت Google عن إصلاحها في 13 أبريل 2025، من خلال تعديل آلية تثبيت حزم PyPI بحيث يتم استخدامها بواسطة حساب خدمة البيئة بدلًا من حساب Cloud Build الافتراضي.
وأشارت Google إلى أن:
-
بيئات Cloud Composer 2 التي تم إنشاؤها باستخدام الإصدار 2.10.2 أو أعلى لا تتأثر.
-
بيئات Cloud Composer 3 تستخدم بالفعل حساب الخدمة الخاص بالبيئة ولا تتأثر بالتغيير.
ثغرات أمنية سحابية إضافية حديثة
1. ثغرة جديدة في Microsoft Azure تؤدي إلى فقدان البيانات
كشف فريق Varonis Threat Labs عن ثغرة في Azure SQL Server يمكن أن تسمح لمهاجم يمتلك صلاحيات عليا بتغيير الإعدادات بطريقة تؤدي إلى حذف بيانات عند تنفيذ إجراء إداري.
-
تم الإبلاغ عن الثغرة في 5 أغسطس 2024
-
تم إصلاحها بالكامل في 9 أبريل 2025
تُعرف هذه الثغرة باسم Destructive Stored URL Parameter Injection، وتنجم عن غياب قيود على أسماء قواعد الجدار الناري عبر T-SQL.
2. خلل في Microsoft Entra ID يسمح بمنع تعديل المستخدمين
سلطت Datadog Security Labs الضوء على ثغرة في وحدات الإدارة المقيدة في Entra ID قد تسمح للمهاجم بحماية حساب خاضع لسيطرته من الحذف أو التعديل، حتى من قِبل مسؤول النظام.
-
تم الكشف عنها في 19 أغسطس 2024
-
تم تصحيحها في 22 فبراير 2025
3. استهداف مثيلات AWS EC2 عبر ثغرات SSRF
رصد باحثو F5 Labs حملات تهديد تستغل ثغرات Server-Side Request Forgery (SSRF) ضد مواقع مستضافة على AWS EC2، بهدف استخراج بيانات تعريف حساسة مثل:
-
عنوان IP
-
معرف المثيل (Instance ID)
-
بيانات اعتماد IAM
قال الباحث Merlyn Albery-Speyer:
“تُعد بيانات تعريف EC2 هدفًا ثمينًا للمهاجمين، إذ توفر معلومات تُستخدم لاحقًا في تنفيذ هجمات أكثر تعقيدًا.”
