اقرأ في هذا المقال
- ما هي هجمات التهيئة الخاطئة
- أمثلة على هجمات التهيئة الخاطئة الواقعية
- الأخطاء الشائعة التي تؤدي إلى التهيئة الخاطئة للأمان
ما هي هجمات التهيئة الخاطئة
تحدث الثغرات الأمنية للتكوين الخاطئ للأمان عندما يكون أحد مكونات التطبيق عرضة للهجوم نتيجة لخيار التكوين غير الآمن أو التهيئة الخاطئة، حيث ان الثغرات الأمنية للتكوين الخاطئ هي نقاط ضعف في التكوين قد تكون موجودة في الأنظمة الفرعية للبرامج أو المكونات، على سبيل المثال، قد يتم شحن برنامج خادم الويب بحسابات مستخدم افتراضية يمكن لمجرم الإنترنت استخدامها للوصول إلى النظام، أو قد يحتوي البرنامج على مجموعة معروفة من ملفات أو أدلة التكوين القياسية، والتي يمكن لمجرم الإنترنت استغلالها.
علاوة على ذلك، قد يكون لدى البرامج خدمات ضعيفة، مثل عمليات الإدارة عن بعد، تتسبب الثغرات الأمنية في التكوين الخاطئ في أن يكون التطبيق الخاص بالمستخدم عرضة للهجمات التي تستهدف أي مكون من مكدس التطبيق.
أمثلة على هجمات التهيئة الخاطئة الواقعية:
1. وكالة ناسا عن طريق التهيئة الخاطئة للترخيص الافتراضي
اكتشف باحث أمني خطأ في التكوين الأمني في أداة التعاون (JIRA) وهو نظام حاسوبي تجاري يستعمل لإدارة المشاريع بشكل عام، هذا الخطأ في التكوين الفردي جعل العديد من شركات (NASA) عرضة لإصدار البيانات الشخصية وبيانات الشركة تسبب خطأ في تهيئة التفويض في إعداد الأذونات العامة لـ (Jira) في هذا الكشف عن البيانات، حيث انه عندما تم تطوير لوحات المعلومات والفلاتر للمشروعات أو المشكلات في (JIRA)، كما كانت إعدادات الرؤية افتراضيًا هي كل المستخدمين والجميع، بدلاً من مشاركة مهام خريطة الطريق وما شابه ذلك داخل المنظمة يجب مشاركتها مع الجمهور.
2. هجمات التهيئة الخاطئة لخدمة Amazon S3
تعتمد العديد من المؤسسات على تقنية تخزين البيانات في (Amazon S3) وهي خدمة تخزين ملفات تهدف لاستغلال القدرات التخزينية الهائلة المتوفرة في مراكز بيانات الشركة والعمل على توفيرها للعملاء باسعار مناسبة ومقبولة نوعا ما وجودة عالية ايضا، بما في ذلك الوكالات العسكرية والحكومية، ومع ذلك، تشير الأحداث الأمنية السابقة إلى أن هذه مشكلة منتشرة، ويجب مراقبة ترخيص (S3) بعناية.
3. هجوم سيتريكس ببروتوكولات قديمة غير آمنة
كان غالبية مستأجري (Microsoft Office 365) وهي سحابة انتاجية مصممة لمساعدة المستخدم على تحقيق الاهداف وادارة الاعمال، هدفًا لهجمات رش كلمات المرور المستندة إلى (IMAP) وهو عبارة عن بروتوكول الوصول الى رسائل الإنترنت، حيث يستهدف مجرمو الإنترنت بروتوكول (IMAP) القديم غير الآمن لتجاوز إعدادات (MFA) وهي طريقة لتعريف المستخدم عن نفسه خلال عملية تسجيل الدخول بالاضافة الى استعمال الباسوورد التقليدي وكشف الحسابات المستندة إلى مجموعة النظراء، مما يتيح الوصول إلى تطبيقات (SaaS) وهي مجموعة فرعية من الحوسبة السحابية.
كما يجعل استخدام البروتوكولات القديمة بما في ذلك (IMAP) من الصعب على مسؤولي النظام إنشاء (MFA) وتنشيطه، حيث يمكن أن تكون صناديق البريد وحسابات الخدمة المشتركة ضعيفة بشكل خاص، وقد يكون من الصعب استخدام (MFA) لحماية حسابات (Office 365) التي تستخدم (IMAP)، لذلك يجب التأكد من تنشيط (MFA) لكل مستخدم في كل تطبيق، بما في ذلك المشرفون المتميزون.
4. ميراي (未来)
(Mirai) هو نوع من البرامج الضارة التي تصيب أجهزة الشبكة، بعد إصابة الأجهزة، يمكن للمُشغل التحكم فيها عن بُعد، حيث يستخدمها كروبوتات تعمل على توسيع قوة الروبوتات، حيث استهدفت (Mirai) بشكل أساسي أجهزة إنترنت الأشياء، وتمكنت من تنفيذ العديد من الهجمات البارزة حتى بعد اكتشافها في أغسطس 2016، في النهاية، حيث أصدر المنشئ الكود كمصدر مفتوح، ومنذ ذلك الحين تم استخدام هذه التقنية في مشاريع البرامج الضارة الأخرى .
كما تمكنت ميراي من إصابة كاميرات الدوائر التلفزيونية المغلقة وأجهزة التوجيه المنزلية ومسجلات الفيديو الرقمية وتشغيلها ونجحت من خلال محاولة كلمات المرور شائعة الاستخدام، حيث مكنت هذه الطريقة البسيطة الروبوتات (mirai) من إنتاج 280 جيجابت في الثانية و 130 مليون وحدة في الثانية في قدرة (DDoS)، كما جعل (Mirai) أيضًا العديد من المواقع البارزة غير قابلة للوصول، بما في ذلك (Netflix ،Twitter)، كماتعد كلمات المرور الضعيفة والافتراضية من الأخطاء الشائعة في تكوين الأمان، ويبحث ممثلو التهديدات بنشاط عن أنظمة وأجهزة لمهاجمتها، مستفيدين من قوائم كلمات المرور والروبوتات الشائعة الاستخدام التي يمكنها إدخال عدد كبير من كلمات المرور بسرعة.
5. الموافقة على التصيد الاحتيالي باستخدام OAuth في Office 365
يُعد تصيد الموافقة الاحتيالي استغلالًا جذابًا للمهاجمين، الذين يستفيدون من إجراءات (OAuth) وهو بروتوكول قياسي يسمح للجهات الخارجية الوصول الى بيانات المستخدم الشائعة، كما ان (OAuth) عرضة لأخطاء التنفيذ، فعندما تنقر الضحية على تطبيق (OAuth) المضلل، فإنها تسمح بتثبيت أي قدر من الأنشطة الضارة، كما تخبر (Microsoft) المستخدمين بمراقبة تطبيقات (OAuth) الخادعة للابتعاد عن الهجمات الضارة، حيث واجه العديد من الموظفين البعيدين مثل هذه الهجمات عند استخدام (Office 365)، لذلك يجب وضع بروتوكول أمان للتطبيقات الجديدة المدمجة وقم بتقييد إذن المستخدم افتراضيًا لجميع التطبيقات.
الأخطاء الشائعة التي تؤدي إلى التهيئة الخاطئة للأمان:
- الفشل في إزالة الميزات غير الضرورية أو تعطيلها: عندما لا قوم المستخدم بإزالة المكونات الزائدة أو نماذج التعليمات البرمجية أو الميزات، يُترك التطبيق مفتوحًا للهجوم، لا تحتفظ بالمنافذ غير الضرورية مفتوحة أو تعمل الخدمات غير الضرورية، يجب أيضًا التأكد من حذف الحسابات التي لم تعد مطلوبة.
- استخدام الحسابات وكلمات المرور الافتراضية: تأتي الأجهزة والبرامج، بما في ذلك تطبيقات الويب وأجهزة الشبكة، مع مجموعة من بيانات الاعتماد الافتراضية التي توفر وصولاً أوليًا للمالكين، بعد الحصول على حق الوصول، يجب على المالكين تغيير كلمات المرور الخاصة بهم، بخلاف ذلك، يمكن للمهاجمين استخدام قوائم بيانات الاعتماد الافتراضية الشائعة لفرض النظام على النظام والحصول على وصول غير مصرح به.
- تحديد رسائل الخطأ التي تكشف عن الكثير من المعلومات: يجب ألا توفر تكوينات الخادم الافتراضية معلومات كثيرة في رسائل الخطأ، على سبيل المثال، يجب ألا توفر رسالة الخطأ تتبعات مكدس مفصلة، حيث يمكن أن يؤدي ذلك إلى كشف معلومات حساسة، مثل إصدارات المكونات المستخدمة، والتي يمكن للمهاجمين استخدامها للبحث عن العيوب التي يمكن استغلالها.
- استخدام إصدارات البرامج القديمة والتحديثات المفقودة: فقد يؤدي هذا إلى ترك البرامج القديمة معرضة لنقاط الضعف المعروفة، والتي ربما تم تصحيحها بالفعل، لضمان فعالية التصحيحات، يجب تطبيقها في الوقت المحدد.
- ترقيات: تم تكوينها بشكل خاطئ لكي تكون فعالة حقًا، يجب تكوين الترقيات بشكل صحيح، سواء كانت الترقية تتضمن تصحيحات أمان أو وظائف جديدة، يجب تكوينها وتمكينها بشكل صحيح، لتجنب التهيئة الخاطئة، يجب مراجعة كل تحديث لمعرفة التغيير الدقيق وضبط التهيئة وفقًا لذلك.
- أنظمة السحابة: المكونة بشكل خاطئ يتحمل مقدمو السحابة مسؤولية تأمين البنية التحتية الأساسية، حيث ان المستخدم مسؤول عن تأمين موارد السحابة الخاصة، بما في ذلك أعباء العمل والبيانات.