اكتشف الباحث الأمني Alex Birsen ثغرة أمنية سمحت له بتشغيل التعليمات البرمجية على خوادم مملوكة لشركة Apple و Microsoft و PayPal وأكثر من 30 شركة أخرى (بواسطة كمبيوتر يهرب). الاستغلال بسيط أيضًا ، وهو أمر يتعين على العديد من مطوري البرامج العظماء اكتشاف كيفية حماية أنفسهم منه.
يستفيد الاستغلال من خدعة بسيطة نسبيًا: استبدال الحزم الخاصة بحزم عامة. عندما تقوم الشركات ببناء برامج ، فإنها غالبًا ما تستخدم كود مفتوح المصدر كتبه أشخاص آخرون حتى لا يستثمروا الوقت والموارد في حل مشكلة تم حلها بالفعل. على سبيل المثال ، عملت على مواقع كان عليها تحويل الملفات النصية إلى صفحات ويب في الوقت الفعلي. بدلاً من كتابة التعليمات البرمجية للقيام بذلك بأنفسنا ، وجد فريقي برنامجًا قام بذلك وقام ببنائه على موقعنا.
يمكن العثور على هذه البرامج المتاحة للجمهور في قواعد البيانات مثل npm لـ NodeJS و PyPi لـ Python و RubyGems لـ Ruby. ومن الجدير بالذكر أن بيرسان وجد أن هذه الخزانات يمكن استخدامها لتنفيذ هذا الهجوم ، لكنها لا تقتصر على ثلاثة فقط.
بالإضافة إلى هذه الحزم العامة ، تقوم الشركات في كثير من الأحيان ببناء حزم خاصة بها ، والتي لا تقوم بتحميلها بل توزعها بين مطوريها. هذا هو المكان الذي وجد بيرسان الثغرة. اكتشف أنه إذا تمكن من العثور على أسماء الحزم الخاصة التي تستخدمها الشركات (وهي مهمة اتضح أنها سهلة للغاية في معظم الحالات) ، فيمكنه تحميل الكود الخاص به إلى إحدى قواعد البيانات العامة التي تحمل الاسم نفسه ، وإلى الشركات. ستستخدم الأنظمة الآلية رمزه بدلاً من ذلك. لن يقوموا فقط بتنزيل الحزمة الخاصة به بدلاً من الحزمة الصحيحة ، بل سيقومون أيضًا بتشغيل الكود بداخلها.
لتوضيح ذلك في المثال ، تخيل أن لديك مستند Word على جهاز الكمبيوتر الخاص بك ، ولكن عندما ذهبت لفتحه ، قال جهاز الكمبيوتر الخاص بك ، “مرحبًا ، هناك مستند Word آخر على الإنترنت يحمل نفس الاسم. سأفتحه بدلاً من ذلك . “تخيل الآن أن مستند Word يمكنه إجراء تغييرات تلقائيًا على جهاز الكمبيوتر الخاص بك. هذا ليس موقفًا رائعًا.
يبدو أن الشركات اتفقت على أن المشكلة خطيرة. في منصبه المتوسطوكتب بيرسان أن “معظم الكميات الممنوحة تم تحديدها بالحد الأقصى المسموح به في سياسة كل خطة ، وفي بعض الأحيان أكثر”. بالنسبة لأولئك غير المألوفين ، فإن عددًا كبيرًا من الأخطاء عبارة عن مكافآت نقدية تدفعها الشركات للأشخاص الذين يجدون أخطاء خطيرة. كلما زادت شدة البكتيريا ، زاد المال الذي سيدفعونه.
وفقًا لبيرسان ، فإن معظم الشركات التي اتصل بها بشأن الاستغلال تمكنت من إصلاح أنظمتها بسرعة حتى لا تكون عرضة للخطر. مايكروسوفت لديها حتى قم بتجميع الورق الأبيض شرح كيف يمكن للمسؤولين حماية شركاتهم من مثل هذه الهجمات ، ولكن من المدهش أن الأمر استغرق وقتًا طويلاً حتى يدرك شخص ما أن هذه الشركات الضخمة معرضة لمثل هذه الهجمات. لحسن الحظ ، ليس هذا هو نوع القصة التي تنتهي بضرورة تحديث كل جهاز في منزلك على الفور ، ولكن يبدو أنه سيكون أسبوعًا طويلاً للمسؤولين الذين يحتاجون الآن إلى تغيير الطريقة التي تستخدم بها شركتهم الكود العام.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”