مرحبًا بكم في إصدار هذا الأسبوع من “تقرير الإنترنت نصف الأسبوعي” من Canary Trap. في Canary Trap، تتمثل مهمتنا في إبقاءك على اطلاع بأحدث الأخبار الأكثر أهمية في عالم الأمن السيبراني، وهذه النشرة نصف الأسبوعية هي بوابتك إلى أحدث الأخبار.
في ملخص هذا الأسبوع، نغطي العديد من التطورات المهمة في مجال الأمن السيبراني والتي تؤثر على مختلف الصناعات. سنستكشف ثغرة أمنية كبيرة في WordPress Plugin Jetpack، وهو اختراق خطير للتذاكر المركزية يؤثر على مليون مستخدم، وإلغاء Microsoft لبروتوكولي VPN في Windows Server. بالإضافة إلى ذلك، يشير أحدث تقرير لمعلومات التهديدات من Microsoft إلى هدف مفضل جديد لمجرمي الإنترنت، وتقوم Cisco بالتحقيق في الاختراق بعد عرض البيانات المسروقة للبيع عبر الإنترنت.
-
تم تصحيح الثغرات الأمنية الخطيرة في 101 إصدارًا من مكون WordPress الإضافي Jetpack
أصدرت Automattic تصحيحات لـ 101 إصدار من المكون الإضافي لأمان WordPress المستخدم على نطاق واسع، Jetpack، لمعالجة ثغرة أمنية خطيرة كانت موجودة منذ عام 2016. ويؤثر الخلل، الذي تم اكتشافه أثناء تدقيق الأمان الداخلي، على جميع إصدارات Jetpack بدءًا من 3.9.9 وما بعده. تم إرجاعه إلى مشكلة محددة تتعلق بميزة نموذج الاتصال.
من المحتمل أن تسمح الثغرة الأمنية، التي لم تحصل بعد على معرف CVE، لأي مستخدم قام بتسجيل الدخول بالوصول إلى النماذج المقدمة من قبل زوار الموقع. للتخفيف من المخاطر، أصدرت Automattic تحديثات لجميع إصدارات Jetpack المتأثرة، تتراوح من 3.9 إلى 13.9، مما يضمن تغطية كل تكرار.
ونظرًا لنطاق المشكلة، اتخذت شركة Automattic خطوة استباقية تتمثل في تحديث المواقع التي تعمل بالإصدارات الضعيفة تلقائيًا. نحث مسؤولي مواقع الويب على التحقق من إصدار Jetpack الخاص بهم وتطبيق التحديث الأخير إذا لم يكن مثبتًا بالفعل.
على الرغم من عدم وجود دليل حالي على حدوث استغلال، فإن الاستخدام الواسع النطاق لـ Jetpack – المثبت على أكثر من أربعة ملايين موقع ويب – يجعله هدفًا كبيرًا للجهات الفاعلة في مجال التهديد. ويحذر Automattic من أن المهاجمين قد يحاولون الآن استغلال الخلل، مع التركيز على أهمية النشر السريع للتصحيح.
-
تؤكد التذاكر المركزية حدوث خرق للبيانات حيث قام المتسلل بتسريب بيانات مليون مستخدم
في يوليو 2024، تعرضت شركة Central Tickets، وهي منصة لحجز تذاكر المسرح بأسعار مخفضة ومقرها لندن، لاختراق كبير للبيانات أدى إلى كشف معلومات حساسة للمستخدم، بما في ذلك الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وكلمات المرور المجزأة. لم يتم اكتشاف الاختراق من قبل الشركة نفسها ولكن من قبل شرطة العاصمة في سبتمبر 2024، عندما لاحظت نشاطًا يتعلق بالبيانات المسروقة على الويب المظلم.
وشمل الاختراق قاعدة بيانات مرحلية تستخدم لأغراض الاختبار، منفصلة عن الموقع الإلكتروني الرئيسي للشركة والبنية التحتية للتطبيقات. على الرغم من أن قاعدة البيانات هذه كانت معزولة، إلا أنها لا تزال تحتوي على معلومات شخصية تم الوصول إليها من قبل جهات غير مصرح لها. عند الاكتشاف، اتخذت Central Tickets خطوات فورية لتأمين قاعدة البيانات، وفرضت إعادة تعيين كلمة المرور القسرية لجميع المستخدمين، وبدأت تحقيقًا شاملاً في الحادث. كما قاموا أيضًا بإخطار مكتب مفوض المعلومات (ICO) خلال مدة 72 ساعة بموجب لوائح اللائحة العامة لحماية البيانات. أصدر الرئيس التنفيذي لي ماكينتوش اعتذارًا رسميًا للمستخدمين المتأثرين، مؤكدًا على التزام الشركة بتعزيز إجراءات الأمن السيبراني لمنع الانتهاكات المستقبلية.
وبحسب ما ورد، تمكن المتسلل الذي يقف وراء الاختراق، والمعروف بالاسم المستعار “0xy0um0m”، من الوصول إلى أنظمة Central Tickets في 2 يوليو 2024. وحاول المتسلل بيع إمكانية الوصول إلى قاعدة البيانات المخترقة والبنية التحتية الحساسة الأخرى مقابل 3000 دولار، ثم قام لاحقًا بتسريب البيانات التي أثرت على أكثر من مليون شخص. المستخدمين في منتديات الخرق. تضمنت المعلومات المسربة الأسماء الكاملة وعناوين IP وسجلات المسؤول ورموز الإحالة وعناوين البريد الإلكتروني وأرقام الهواتف وتجزئة كلمات المرور وتفاصيل حول الأحداث التي يحضرها العملاء.
تم انتقاد شركة Central Tickets لأنها علمت بالانتهاك فقط من خلال تطبيق القانون بدلاً من جهود المراقبة الخاصة بها. أدى هذا التأخير إلى زيادة خطر هجمات الاحتيال والتصيد الاحتيالي للمستخدمين المتأثرين.
وحثت Central Tickets المستخدمين على توخي اليقظة ضد محاولات التصيد الاحتيالي ومراقبة حساباتهم عن كثب بحثًا عن أي نشاط مشبوه. يسلط الاختراق الضوء على الأهمية الحاسمة لتحديثات كلمات المرور المنتظمة، وتمكين المصادقة متعددة العوامل، وتوخي الحذر مع الاتصالات غير المرغوب فيها.
تعد هذه الحادثة جزءًا من اتجاه أوسع لزيادة الهجمات الإلكترونية على منصات التذاكر عبر الإنترنت. إن اختراق التذاكر المركزية، على الرغم من أنه لم يكن واسع النطاق مثل اختراق Ticketmaster في مايو 2024 والذي أثر على ما يصل إلى 560 مليون مستخدم، يؤكد على نقاط الضعف في صناعة التذاكر. وبما أن هذه المنصات تتعامل مع المعلومات الشخصية والمالية الحساسة، فإنها تظل أهدافًا ذات قيمة عالية لمجرمي الإنترنت، مما يؤكد الحاجة إلى تعزيز تدابير الأمن السيبراني عبر القطاع.
-
تقوم Microsoft بإيقاف بروتوكولات PPTP وL2TP VPN في Windows Server
أوقفت Microsoft رسميًا بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) وبروتوكول الاتصال النفقي من الطبقة الثانية (L2TP) في الإصدارات القادمة من Windows Server، وحثت المسؤولين على الانتقال إلى بدائل أكثر أمانًا. لأكثر من عقدين من الزمن، تم استخدام هذه البروتوكولات على نطاق واسع لتوفير الوصول عن بعد إلى شبكات الشركات وخوادم Windows. ومع ذلك، فإن تهديدات الأمن السيبراني المتطورة وزيادة التعقيد في تقنيات الهجوم جعلت PPTP وL2TP أقل أمانًا.
PPTP، على سبيل المثال، عرضة لهجمات القوة الغاشمة دون الاتصال بالإنترنت على تجزئات المصادقة التي تم التقاطها. يفتقر L2TP نفسه إلى التشفير ما لم يتم دمجه مع IPsec، ولكن يمكن أن تؤدي تكوينات L2TP/IPsec غير الصحيحة إلى ظهور ثغرات أمنية قد يستغلها المهاجمون. ونظرًا لهذه القيود، تدعو Microsoft الآن إلى اعتماد بروتوكولات أكثر قوة، وتحديدًا بروتوكول نفق مأخذ التوصيل الآمن (SSTP) وInternet Key Exchange الإصدار 2 (IKEv2)، اللذين يوفران أمانًا وأداءً محسنين.
أوضحت Microsoft أن الإيقاف لا يعني الإزالة الفورية. في حين أن PPTP وL2TP لن يكونا قيد التطوير النشط وقد يتم التخلص منهما في النهاية، سيكون لدى المسؤولين متسع من الوقت – ربما عدة سنوات – للانتقال إلى البروتوكولات الموصى بها. لن تقبل الإصدارات المستقبلية من Windows RRAS Server الاتصالات الواردة باستخدام PPTP وL2TP، على الرغم من أن الاتصالات الصادرة باستخدام هذه البروتوكولات ستظل مدعومة.
لدعم هذا التحول، أصدرت Microsoft نشرة دعم مفصلة في يونيو، لتوجيه المسؤولين حول تكوين SSTP وIKEv2 لتحقيق الأمان والأداء الأمثل. وتتوافق هذه الخطوة مع استراتيجية Microsoft الأوسع لتحديث أمان الشبكة وتقليل مخاطر الثغرات الأمنية في البيئات الرقمية المعقدة بشكل متزايد.
-
مايكروسوفت: المدارس تواجه آلاف الهجمات الإلكترونية أسبوعيًا
يسلط أحدث تقرير لذكاء التهديدات من Microsoft الضوء على اتجاه متزايد: يستهدف مجرمو الإنترنت بشكل متزايد المؤسسات التعليمية، بدءًا من المدارس من مرحلة الروضة حتى الصف الثاني عشر وحتى الجامعات. ويحدد التقرير القطاع على أنه “صناعة من الصناعات” بسبب الكم الهائل من البيانات الحساسة التي يحملها، بما في ذلك السجلات المالية والمعلومات الصحية وغيرها من البيانات الخاصة التي تجعله هدفا رئيسيا للهجمات الإلكترونية.
لقد اجتذب الجمع بين البيانات القيمة ونقاط الضعف المتأصلة في المؤسسات التعليمية مجموعة واسعة من المهاجمين، بدءًا من مجرمي الإنترنت الذين يستخدمون تقنيات البرمجيات الخبيثة المتطورة وحتى الجهات الفاعلة التابعة للدولة القومية المشاركة في التجسس. ويكشف تحليل مايكروسوفت أن هذه المؤسسات تواجه تحديات فريدة من نوعها، مثل العدد المحدود من الموظفين الأمنيين، وبيئات تكنولوجيا المعلومات المعقدة، وإعدادات التعلم عن بعد، والاعتماد على أنظمة البريد الإلكتروني المفتوحة، وعدم كفاية التمويل للأمن السيبراني. ومما يزيد من تفاقم هذه المشكلات وجود مستخدمين لا تتجاوز أعمارهم ست سنوات، والذين قد يفتقرون إلى الوعي بممارسات الأمن السيبراني الآمنة، مما يزيد من خطر اختراق الشبكة.
ووفقا للنتائج التي توصلت إليها مايكروسوفت، تواجه المؤسسات التعليمية ما متوسطه 2507 محاولات للهجمات الإلكترونية في الأسبوع. الجامعات، على وجه الخصوص، معرضة لخطر أكبر بسبب ثقافتها المفتوحة لتبادل المعلومات والتعاون. ومن بين الجهات الفاعلة الأكثر نشاطًا في مجال التهديد الذي يستهدف قطاع التعليم مجموعات الدول القومية مثل Peach Sandstorm وMint Sandstorm وMabna Institute وEmerald Sleet وMoonstone Sleet، إلى جانب التهديد الناشئ Storm-1877.
وللتخفيف من هذه المخاطر، توصي Microsoft المؤسسات التعليمية باعتماد إطار أمان قوي يتضمن الحفاظ على النظافة الإلكترونية الأساسية، وتعزيز الوعي الإلكتروني عبر جميع مستويات المؤسسة، وتعزيز الوضع الأمني العام. وتشمل الاستراتيجيات الرئيسية مركزية مجموعة التكنولوجيا، وتنفيذ مراقبة أفضل لتحديد نقاط الضعف، وتوسيع نطاق جهود الأمن السيبراني لمواجهة مشهد التهديدات المتزايد.
-
شركة Cisco تحقق في الاختراق بعد سرقة البيانات للبيع على منتدى القرصنة
تحقق شركة Cisco حاليًا في مزاعم حدوث خرق أمني في أعقاب التقارير التي تفيد بأن جهة تهديد قد بدأت في بيع البيانات المسروقة في منتدى القرصنة. تشير الادعاءات، التي قدمها مجرم إلكتروني معروف يُدعى “IntelBroker”، إلى احتمال تعرض بيانات مطوري شركة Cisco ومعلومات الشركة الحساسة للخطر.
وأكد متحدث باسم شركة Cisco علم الشركة بالوضع، قائلًا: “لقد أطلقنا تحقيقًا لتقييم هذا الادعاء، وتحقيقنا مستمر”. بدأ التحقيق ردًا على ادعاءات IntelBroker بأنه، إلى جانب شخصين آخرين يُعرفان باسم “EnergyWeaponUser” و”zjj”، قاموا بانتهاك شركة Cisco في 6 أكتوبر 2024.
تتضمن البيانات المزعوم سرقتها مجموعة متنوعة من المعلومات الحساسة، مثل مشاريع GitHub وGitLab، وشفرة المصدر، وبيانات الاعتماد المشفرة، ورموز واجهة برمجة التطبيقات، وشهادات SSL، وتصميمات Docker، ووثائق العملاء، ومستندات Cisco السرية، من بين عناصر أخرى. قامت IntelBroker بنشر عينات من هذه البيانات في منتدى القرصنة للتحقق من صحة الانتهاك.
يتضمن تاريخ IntelBroker حوادث مماثلة في يونيو عندما قام بتسريب بيانات من شركات رفيعة المستوى مثل T-Mobile وAMD وApple، ويُزعم أن مصدرها من مزود خدمات مُدارة تابع لجهة خارجية متخصص في DevOps وتطوير البرمجيات. ولا يزال من غير الواضح ما إذا كان اختراق Cisco مرتبطًا بتلك الهجمات السابقة. يستمر التحقيق الذي تجريه شركة Cisco، ولم تؤكد الشركة بعد ما إذا كان الانتهاك مرتبطًا بنقاط ضعف في أنظمتها أو تلك الخاصة بمورد خارجي.