الثغرة الخلفية التي يعرفها المهاجمون ولم تغلقها معظم فرق الأمن

الثغرة الخلفية التي يعرفها المهاجمون ولم تغلقها معظم فرق الأمن
الثغرة الخلفية التي يعرفها المهاجمون ولم تغلقها معظم فرق الأمن
شارك هذا الخبر

في تقرير حديث نشره موقع The Hacker News، تم تسليط الضوء على واحدة من أخطر الثغرات الأمنية في بيئات المؤسسات، وهي رموز OAuth الدائمة التي تمنح التطبيقات الخارجية صلاحيات مستمرة للوصول إلى بيانات المؤسسات دون انتهاء صلاحية أو مراقبة كافية. هذه الثغرة لا تتعلق بسوء تهيئة أو خطأ تقني، بل هي جزء من تصميم بروتوكول OAuth نفسه، ما يجعلها بابًا خلفيًا مفتوحًا أمام المهاجمين.

رموز OAuth: صلاحيات بلا انتهاء

كل تطبيق ذكاء اصطناعي أو أداة إنتاجية أو منصة أتمتة يتم ربطها بحسابات Google أو Microsoft تترك خلفها رمز OAuth دائمًا، لا ينتهي عند تغيير كلمات المرور، ولا يُلغى عند مغادرة الموظفين، ولا تراه أنظمة الحماية التقليدية أو المصادقة متعددة العوامل. هذا يعني أن أي مهاجم يحصل على هذا الرمز لا يحتاج إلى كلمة مرور للوصول إلى الأنظمة، ما يجعل الخطر مضاعفًا.

فجوة بين الوعي والتنفيذ

بحسب دراسة أجرتها شركة Material Security، فإن 80% من قادة الأمن السيبراني يعتبرون هذه الرموز غير المُدارة خطرًا بالغًا، لكن 45% من المؤسسات لا تراقبها إطلاقًا، بينما يعتمد 33% على أساليب بدائية مثل جداول البيانات لمتابعة الصلاحيات. هذه الأساليب لا ترقى إلى مستوى الاستجابة الفعلية للتهديدات، بل تكشف حجم التعرض غير المرئي داخل المؤسسات.

حادثة Drift: إنذار عملي

أبرز مثال على خطورة هذه الثغرة كان حادثة Drift، منصة إدارة المبيعات التي اندمجت مع Salesloft. المهاجمون، الذين تتبعهم وحدة Palo Alto Unit 42 تحت اسم UNC6395، تمكنوا من الحصول على رموز OAuth صالحة واستخدموها للوصول إلى بيئات Salesforce الخاصة بأكثر من 700 مؤسسة، بما في ذلك شركات كبرى مثل Cloudflare وPagerDuty. الهجوم لم يكن عبر تطبيق مشبوه، بل من خلال تطبيق موثوق، حيث استغل المهاجمون الرموز الشرعية لتجاوز أنظمة الحماية واستخراج بيانات حساسة مثل مفاتيح وصول AWS وكلمات مرور.

كيف يجب أن تكون المراقبة الفعالة

الحلول الأمنية التقليدية تركز على مراجعة صلاحيات التطبيقات عند التثبيت، لكنها تفشل في رصد الهجمات التي تستغل الرموز لاحقًا. المراقبة الفعالة يجب أن تشمل:

  • رصد سلوك التطبيقات بشكل مستمر: متابعة استدعاءات API والأنشطة غير المعتادة مثل الزيادات المفاجئة في الوصول إلى البيانات.
  • تقييم نطاق التأثير (Blast Radius): تحديد حجم الضرر المحتمل بناءً على صلاحيات الحساب المرتبط بالرمز.
  • استجابة متدرجة وذكية: التمييز بين التطبيقات المشبوهة التي يجب إيقافها فورًا، والتطبيقات الحيوية التي تحتاج مراجعة بشرية قبل اتخاذ قرار.
أداة Material Security

قدمت Material Security أداة جديدة باسم OAuth Threat Remediation Agent، تعمل بشكل مستمر داخل بيئات Google Workspace، وتجمع بين تحليل الثقة في المورد، مراقبة السلوك الفعلي للتطبيقات، وتقييم نطاق التأثير. الأداة قادرة على إلغاء الرموز عالية الخطورة تلقائيًا، أو رفع إنذارات مدعومة بسياق كامل لفرق الأمن عند الحالات الأقل وضوحًا، ما يمنح المؤسسات قدرة عملية على سد هذه الثغرة الخلفية.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1521

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة