اكتشف الباحث الأمني Alex Birsan ثغرة أمنية سمحت له بتشغيل كود على خوادم مملوكة لشركة Apple و Microsoft و PayPal وأكثر من 30 شركة أخرى (عبر كمبيوتر نائم). الاستغلال بسيط أيضًا ، وهو أمر يجب على العديد من مطوري البرامج العظماء اكتشاف كيفية حماية أنفسهم.
يستفيد الاستغلال من خدعة بسيطة نسبيًا: استبدال الحزم الخاصة بحزم عامة. عندما تنشئ الشركات برامج ، فإنها غالبًا ما تستخدم كود مفتوح المصدر مكتوب من قبل أشخاص آخرين ، بحيث لا يقضون الوقت والموارد في حل مشكلة تم حلها بالفعل. على سبيل المثال ، عملت على مواقع الويب التي اضطرت إلى تحويل الملفات النصية إلى صفحات ويب في الوقت الفعلي. بدلاً من كتابة التعليمات البرمجية للقيام بذلك بأنفسنا ، وجد فريقي برنامجًا قام بذلك وقام بدمجه في موقعنا.
يمكن العثور على هذه البرامج المتاحة للجمهور في مستودعات مثل npm لـ NodeJS و PyPi لـ Python و RubyGems لـ Ruby. وتجدر الإشارة إلى أن بيرسان اكتشف أن هذه المستودعات يمكن استخدامها لتنفيذ هذا الهجوم ، لكنها لا تقتصر على الثلاثة.
بالإضافة إلى هذه الحزم العامة ، غالبًا ما تبني الشركات حزمها الخاصة ، والتي لا تقوم بتنزيلها ، بل توزعها على مطوريها بدلاً من ذلك. هذا هو المكان الذي وجد فيه بيرسان هذا العمل الفذ. وجد أنه إذا تمكن من العثور على أسماء الحزم الخاصة التي تستخدمها الشركات (وهي مهمة ثبت أنها سهلة للغاية في معظم الحالات) ، فيمكنه تحميل الكود الخاص به إلى أحد المستودعات العامة التي تحمل نفس الاسم. ستستخدم أنظمة الأعمال الآلية رمزها بدلاً من ذلك. لن يقوموا فقط بتنزيل الحزمة الخاصة به بدلاً من القسيمة ، بل سيقومون أيضًا بتشغيل الكود في الداخل.
لشرح ذلك بمثال ، تخيل أن لديك مستند Word على جهاز الكمبيوتر الخاص بك ، ولكن عندما ذهبت لفتحه ، قال جهاز الكمبيوتر الخاص بك ، “مرحبًا ، هناك مستند Word آخر على الإنترنت يحمل نفس الاسم. سأفتح ذلك بدلاً من ذلك. تخيل الآن أن مستند Word يمكنه بعد ذلك إجراء تغييرات تلقائيًا على جهاز الكمبيوتر الخاص بك. إنه ليس وضعًا رائعًا.
يبدو أن الشركات اتفقت على أن المشكلة خطيرة. في منصبه على المتوسطكتب بيرسان أن “غالبية مكافآت الأخطاء الممنوحة تم تحديدها بالحد الأقصى الذي تسمح به سياسة كل برنامج ، وأحيانًا أكثر. بالنسبة لأولئك الذين ليسوا مألوفين ، فإن مكافآت الأخطاء هي مكافآت نقدية تدفعها الشركات للأشخاص الذين يجدون أخطاء خطيرة. كلما زادت خطورة الخطأ ، زاد المال الذي سيدفعونه.
وفقًا لبيرسان ، تمكنت معظم الشركات التي اتصل بها بشأن الاستغلال من تصحيح أنظمتها بسرعة حتى لا تكون عرضة للخطر. مايكروسوفت لديها حتى اكتب ورقة بيضاء شرح كيف يمكن لمسؤولي النظام حماية أعمالهم من هذا النوع من الهجمات ، لكن من المدهش بصراحة أن الأمر استغرق وقتًا طويلاً لشخص ما ليدرك أن هذه الشركات الضخمة كانت عرضة لهذا النوع من الهجوم. لحسن الحظ ، ليس هذا هو نوع القصة التي تنتهي بالتحديث الفوري لجميع الأجهزة في منزلك ، ولكن يبدو أنه سيكون أسبوعًا طويلاً لمسؤولي النظام الذين يحتاجون الآن إلى تغيير الطريقة التي تستخدم بها شركتهم الكود العام.
Social media junkie. Zombie fanatic. Travel fanatic. Music obsessed. Bacon expert.
/cloudfront-us-east-2.images.arcpublishing.com/reuters/J2MIF3SARZN4HBCOTCK7UKBCDM.jpg){kind=small}