بعد إجراء أكثر من 10,000 اختبار اختراق داخلي آلي خلال العام الماضي، كشفت منصة vPenTest عن حقيقة مقلقة: لا تزال العديد من الشركات تعاني من ثغرات أمنية خطيرة يمكن للمهاجمين استغلالها بسهولة.
تعتقد العديد من المؤسسات أن جدران الحماية وبرامج الحماية من الفيروسات ونظم إدارة المعلومات الأمنية (SIEMs) كافية للحماية. ولكن، هل تصمد هذه الدفاعات عند اختبارها؟ هذا هو دور vPenTest، وهي منصة آلية لاختبار اختراق الشبكات من Vonahi Security، والتي تحاكي سيناريوهات الهجمات الحقيقية لمساعدة المؤسسات في اكتشاف الثغرات القابلة للاستغلال قبل أن يفعل ذلك المهاجمون.
هذه الثغرات ليست معقدة أو من فئة “يوم الصفر”، لكنها تتعلق بسوء التهيئة وكلمات المرور الضعيفة والأنظمة غير المُحدّثة، والتي يستغلها المهاجمون بشكل روتيني لاختراق الشبكات والتنقل داخلها ورفع الامتيازات.
تصنيف الثغرات المكتشفة:
-
50% ناتجة عن أخطاء التهيئة – مثل الإعدادات الافتراضية وضعف التحكم في الوصول.
-
30% بسبب الأنظمة غير المُحدّثة – مما يتركها عرضة لاستغلال الثغرات المعروفة.
-
20% تتعلق بكلمات المرور الضعيفة – مثل الخدمات التي تعمل بدون مصادقة مناسبة.
أخطر 10 ثغرات في أمان الشبكات الداخلية
فيما يلي أبرز عشر مخاطر أمنية داخلية، موضحة مع مدى خطورتها وكيفية إصلاحها قبل أن تتحول إلى مشكلات حقيقية:
1. ضعف كلمات المرور – خدمة Redis
درجة CVSS3: 9.9
نسبة التكرار: 1.3%
الوصف:
Redis هو نظام تخزين بيانات داخل الذاكرة يُستخدم في التخزين المؤقت والرسائل الفورية. افتراضيًا، لا يفرض Redis المصادقة، مما يسمح بالاتصال دون الحاجة إلى إدخال بيانات اعتماد.
الأثر الأمني:
إذا تمكن مهاجم من الوصول إلى Redis، فقد يحصل على بيانات حساسة أو يرفع امتيازاته للحصول على وصول على مستوى النظام، مما قد يؤدي إلى تسريب البيانات أو التلاعب بها.
التوصيات:
-
تفعيل المصادقة بكلمة مرور قوية تتوافق مع سياسة أمان المؤسسة.
-
يجب أن تحتوي كلمة المرور على 12 حرفًا على الأقل، وتضم أحرف كبيرة وصغيرة وأرقام ورموز خاصة، وألا تكون سهلة التخمين.
-
التحقق من كلمات المرور مقابل قواعد بيانات الاختراق المعروفة مثل haveibeenpwned.com.
2. خوادم Firebird تستخدم بيانات اعتماد افتراضية
درجة CVSS3: 9.0
نسبة التكرار: 1.4%
الوصف:
تحتوي بعض أنظمة Firebird على أسماء مستخدمين وكلمات مرور افتراضية لم يتم تغييرها بعد التثبيت، مما يمنح المهاجمين إمكانية الوصول بسهولة.
الأثر الأمني:
قد يتمكن المهاجمون من تنفيذ أوامر على النظام، أو الوصول إلى ملفات قواعد البيانات والتلاعب بها، مما يؤدي إلى سرقة أو تغيير البيانات الحساسة.
التوصيات:
-
تغيير بيانات الاعتماد الافتراضية فورًا باستخدام أداة GSEC.
-
تنفيذ سياسة تدقيق دورية لكلمات المرور الافتراضية في الأنظمة.
-
مراقبة سجلات الوصول للكشف عن أي محاولات غير مصرح بها.
3. ثغرة BlueKeep في Windows
درجة CVSS3: 9.8
نسبة التكرار: 4.4%
الوصف:
BlueKeep هي ثغرة خطيرة في بروتوكول RDP لنظام Windows (CVE-2019-0708) تتيح تنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى مصادقة.
الأثر الأمني:
يمكن للمهاجمين استغلال BlueKeep للسيطرة الكاملة على النظام، وسرقة بيانات حساسة، والتحرك عبر الشبكة لاستهداف أنظمة أخرى.
التوصيات:
-
تثبيت جميع التحديثات الأمنية ذات الصلة على الفور.
-
مراجعة سياسات إدارة التحديثات لضمان عدم وجود ثغرات غير مُحدّثة.
3. ثغرة EternalBlue في Windows
درجة CVSS3: 9.8
نسبة التكرار: 4.5%
الوصف:
ثغرة EternalBlue تستهدف بروتوكول SMBv1، مما يسمح للمهاجم بتنفيذ تعليمات برمجية على مستوى النظام.
الأثر الأمني:
تم استغلال EternalBlue في هجمات كبرى مثل WannaCry وNotPetya، مما سمح بانتشار واسع للبرمجيات الخبيثة داخل الشبكات المصابة.
التوصيات:
-
تعطيل بروتوكول SMBv1 إذا لم يكن مطلوبًا.
-
تطبيق جميع التحديثات الأمنية ذات الصلة فورًا.
5. تجاوز المصادقة في IPMI
درجة CVSS3: 10.0
نسبة التكرار: 15.7%
الوصف:
IPMI هو بروتوكول لإدارة الأجهزة عن بُعد، ولكن يمكن أن يحتوي على ثغرات تتيح استخراج كلمات المرور.
الأثر الأمني:
إذا تم استخراج كلمات المرور، يمكن للمهاجم الوصول إلى SSH أو Telnet، مما يتيح له السيطرة الكاملة على الأجهزة المستهدفة.
التوصيات:
-
تقييد الوصول إلى IPMI فقط للأجهزة المصرح بها.
-
تغيير كلمات المرور الافتراضية واستخدام كلمات مرور قوية.
6. تشغيل أنظمة Windows غير مدعومة
درجة CVSS3: 9.8
نسبة التكرار: 24.9%
التوصيات:
-
ترقية الأنظمة القديمة إلى إصدارات مدعومة رسميًا.
-
تطبيق تحديثات الأمان بشكل منتظم.
7. هجمات تزوير DNS عبر IPv6
درجة CVSS3: 10.0
نسبة التكرار: 49.9%
التوصيات:
-
تفعيل آليات حماية DHCP لمنع الخوادم المزيفة.
-
تعطيل IPv6 إذا لم يكن ضروريًا.
8. هجمات LLMNR Spoofing
درجة CVSS3: 9.8
نسبة التكرار: 65.5%
التوصيات:
-
تعطيل LLMNR عبر Group Policy.
-
استخدام DNS آمن داخل الشبكة الداخلية.
9. هجمات NBNS Spoofing
درجة CVSS3: 9.8
نسبة التكرار: 73.3%
التوصيات:
-
تعطيل NetBIOS عبر DHCP أو إعدادات الشبكة.
10. هجمات mDNS Spoofing
درجة CVSS3: 9.8
نسبة التكرار: 78.2%
التوصيات:
-
تعطيل mDNS أو تقييده عبر الجدار الناري.
أهمية اختبار الاختراق المستمر
تُظهر هذه النتائج أن معظم الهجمات لا تعتمد على تقنيات متقدمة، بل على أخطاء يمكن تجنبها مثل كلمات المرور الضعيفة والإعدادات الخاطئة. الاختبار المستمر، مثل vPenTest، ضروري لاكتشاف الثغرات وإصلاحها قبل أن يستغلها المهاجمون.
