تستهدف معدات الشبكات ومواقع «وورد برس» ومنتدى لتداول العملات الرقمية

تحذيرات من 3 هجمات أمن معلومات جديدة

خبراء في أمن المعلومات أكدوا أن تأثير الهجمات الجديدة لايزال مستمراً. أرشيفية

حذّرت فرق أمنية عدة حول العالم، مستخدمي الإنترنت ومالكي شبكات المعلومات والعملات الرقمية المشفرة من ثلاث هجمات أمنية، لاتزال آثارها مستمرة، مشددين على أخذ الحيطة بشأنها. وأوضحت الفرق أن الهجمة الأولى تستهدف اثنين من الأجهزة شائعة الاستخدام في بناء وتشغيل شبكات المعلومات، والمعروفة باسم موجهات البيانات «الراوتر»، حيث يحاول منفذوها استغلال ثغرات أمنية باثنين من طرز هذه الاجهزة في السيطرة عن بعد على الشبكات المستهدفة، فيما يتم من خلال الهجمة الثانية قرصنة المواقع والمدونات والصفحات المستضافة على موقع «وورد برس»، وتعطيل وإيقاف تلك المواقع، في حين يسعى المجرمون من وراء الهجمة الثالثة إلى سرقة الأموال المتداولة عبر واحد من أكبر منتديات تداول وتبادل العملات الرقمية المشفرة عبر الإنترنت.

جاء ذلك في تقارير عدة نشرتها أخيراً مواقع تقنية كبرى، منها شبكة «زد دي نت» المتخصصة في تقنية المعلومات.

«راوترات سيسكو»

وأفادت التقارير الخاصة بالهجمة الأولى، بأنها تتم من خلال اثنين من أجهزة توجيه البيانات التي تنتجها شركة «سيسكو»، وهي من أكبر مصنعي معدات شبكات المعلومات، حيث تستهدف الهجمة «الراوتر» من طراز «آر في 323»، و«الراوتر» من طراز «آر في 320»، وهما من الطرز شائعة الاستخدام على نطاق واسع في شبكات المعلومات. وبينت التقارير أن الهجوم يتم باستخدام أداة برمجية جديدة تستغل ثغرتين أمنيتين في هذين الجهازين، تم تعريفهما تحت اسم «سي في إي ـ 2019 ـ 1632» و«سي في إي ـ 2019 ـ 1652»، إذ تسمح الثغرة الأولى للمهاجم بالحصول عن بعد على تفاصيل تكوين الجهاز الحساسة، من دون معرفة كلمة المرور الخاصة به، ما يعطي المهاجم فرصة السيطرة على الجهاز، بينما الثغرة الثانية تتيح للمهاجم حقن وزرع أكواد خبيثة على الجهاز، وتشغيلها عن بعد، بعيداً عن سيطرة القائم على إدارة الجهاز، ومن ثم إمكانية السيطرة على الشبكة عن بعد.

ووفقاً للتقارير، فإن شركة «ريد تيم» الألمانية المتخصصة في أمن المعلومات، اكتشفت الثغرتين، وأبلغت «سيسكو» بهما والتي قامت بدورها بعمل ترقيات وتحديثات أمنية لهاتين الثغرتين. لكن خبراء أمن المعلومات الذين تابعوا تلك الهجمة أفادوا بأن هناك الآلاف من أجهزة «الراوتر» المصابة لم يتم تحديثها بالترقيات التي أصدرتها «سيسكو»، ولاتزال عرضة للهجوم، خصوصاً بعد أن نشر الباحث في مجال أمن المعلومات، ديفيد ديفيدسون، الأكواد التي تثبت صحة المفهوم الخاص بمثل تلك الثغرات على مستودع «جيت هب» للأكواد البرمجية، الذي يعمل عليه عشرات الآلاف من المبرمجين حول العالم.

«وورد برس»

إلى ذلك، ذكرت تقارير أخرى أن موقع «وورد برس» الذي يعد من أكبر مستودعات الاستضافة، التي تضم آلاف المدونات والمواقع والصفحات التابعة لأفراد ومؤسسات ومنظمات من مختلف أنحاء العالم، تعرض لهجمة من نوعية «هجمات اليوم صفر»، أو الهجمة التي تتم بأسلوب مبتكر، يظل لفترة من دون وسيلة أو أداة للتعامل معه، حيث يطلق على الفترة التي تسبق التوصل لوسيلة لصده بـ«اليوم صفر».

وبينت التقارير أنه جرى استهداف الموقع باستغلال ثغرة أمنية اكتشفها المهاجمون في أحد البرامج الفرعية التي تعمل على الموقع كملحق إضافي، يتم من خلاله تلقي التبرعات، ويستغل المهاجمون هذه الثغرة في التحكم بالموقع المستضاف بأكمله.

وأشارت إلى أن خبراء شركة «ديفيانت» المسؤولة عن تشغيل برنامج جدران الحماية الخاص بمستودع «وورد برس» اكتشفوا الثغرة، موضحين أنها موجودة في برنامج خاص بالتبرعات، اشتراه مالكو موقع مستضاف على «وورد برس» يدعى «كود كانيون»، إذ يحتوي هذا البرنامج على العديد من عيوب التصميم التي تعرض المكون الاضافي الخاص بالتبرعات وموقع «وورد برس» ككل للتلاعب من قبل المهاجمين، وذلك عبر ملف جرى إنشاؤه بتقنية «أجاكس»، يحتوي ثغرة تسمح للمهاجمين بتغيير القيم الخاصة بأي من الإعدادات الاساسية لموقع «وورد برس»، وبالتالي تغيير الإعدادات المرتبطة بالمكون الإضافي، وتعديل حساب الوجهة التي تذهب اليها التبرعات، لتصب في حسابات المهاجمين.

وبحسب خبراء «ديفيانت»، فإن الحل الأمثل لمواجهة تلك الهجمة، هو حذف المكون الإضافي الخاص بالتبرعات بالكامل من أي موقع مثبت عليه داخل «وورد برس»، حتى لا يتعرض الموقع للهجوم والاستغلال.

«العملات المشفرة»

وفي السياق ذاته، تعرض موقع «لوكال بيتكوين»، أحد أكبر منتديات تبادل وتداول العملات الرقمية المشفرة، لخرق أمني، بأحد «برمجيات الطرف الثالث» العاملة على الموقع، وترتب على ذلك سرقة 28 ألفاً و200 دولار، في عملية دخول خادعة، تمت برموز مزورة لمرة واحدة.

وأفادت تقارير بأن الهجوم استمر خمس ساعات، قبل أن تبدأ الشركة التدخل واتخاذ الاجراءات اللازمة لإيقافه، موضحة انه جرى خلال تلك الفترة اظهار رسالة تدعي أن الموقع به مشكلات، وأنه سيتم توجيه المستخدمين إلي صفحة بديلة، غير أن الصفحة البديلة لم تكن سوى خدعة من المهاجمين الذين استطاعوا التسلل إلى الموقع واختراقه، وحاولوا من خلالها الاستيلاء على البيانات الحساسة للمستخدمين كوسيلة لسرقة أموالهم وعملاتهم المشفرة المتداولة عبر المنتدى.


الهجمة الأولى تنفّذ عن بعد من خلال ثغرتين

في «راوترات سيسكو»، والثانية تستهدف

مدونات «وورد برس» عبر ثغرة في برنامج

تلقي التبرعات، والثالثة تطارد أموال المتعاملين.

طباعة