تم تحديث قائمة بأخطر نقاط الضعف في البرامج وتحذير لمسؤولي Kubernetes

يتم تحديث قائمة بأخطر نقاط الضعف في البرامج ، وتحذير لمسؤولي Kubernetes ، والمزيد.

تم إصدار أحدث إصدار من أهم 25 نقطة ضعف في البرامج الأكثر خطورة. يُعرف رسميًا باسم تعداد نقاط الضعف الشائعة ، أو CWE ، وهو دليل قيم لمطوري التطبيقات والمختبرين ومديري المشاريع حول الثغرات الأمنية في الترميز التي يحتاجون إلى الانتباه لها والتي يتم استغلالها من قبل الجهات الفاعلة في التهديد. نقطة الضعف رقم واحد ، والتي لم تتغير منذ العام الماضي ، هي كتابة خارج الحدود. هذا هو المكان الذي يُسمح فيه للبرنامج بكتابة البيانات بعد نهاية المخزن المؤقت المقصود أو قبل بدايته. يمكن أن يؤدي هذا إلى تلف البيانات أو حدوث عطل أو تنفيذ تعليمات برمجية غير معتمدة. يُعرف رقم اثنين في القائمة – لم يتغير أيضًا منذ العام الماضي – باسم البرمجة النصية عبر المواقع. هذا هو المكان الذي يمكن فيه إدخال البرامج النصية الضارة في موقع الويب. ثالثًا في القائمة هو إدخال SQL ، وهو أسلوب شائع لاختراق الويب حيث يتم إدراج عبارات SQL الضارة في حقل إدخال قاعدة البيانات.

مصدر آخر للمعلومات القيمة لمتخصصي أمن المعلومات هو كتالوج الثغرات الأمنية المعروف الذي تحتفظ به وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية. هذه قائمة بأحدث نقاط الضعف التي يتم استغلالها من قبل المهاجمين. يتعين على الإدارات الفيدرالية الأمريكية معالجة هذه الثغرات بسرعة ، ولكن يجب على الشركات الانتباه إلى القائمة أيضًا. تم تحديثه مؤخرًا لإضافة ثماني مشكلات أخرى ، بما في ذلك مشكلة هاتف Mitel VoIP التي أخبرتك عنها يوم الاثنين.

إليك المزيد للمطورين: لا يقوم العديد من مستخدمي حاويات Kubernetes لنشر التطبيقات بتأمين المجموعات بشكل صحيح. هذا وفقًا للباحثين في شركة تدعى Cyble ، والتي قالت إنها عثرت مؤخرًا على أكثر من 900000 حالة Kubernetes مكشوفة على الإنترنت. يقترح أنه تم تكوين العديد من الحاويات بشكل خاطئ. أي نوع من الضرر يمكن أن يحدث؟ يشير التقرير إلى أن المتسللين تسللوا إلى وحدة التحكم Kubernetes الخاصة بصانع السيارات Tesla لأنها لم تكن محمية بكلمة مرور. ربما عثروا على أسماء مستخدمين وكلمات مرور لتسجيل الدخول إلى بيئة خدمات Amazon Web التابعة لشركة Tesla. من بين أمور أخرى ، يتعين على مسؤولي تكنولوجيا المعلومات والتطبيقات التأكد من تثبيت أحدث إصدارات Kubernetes في بيئاتهم. يجب عليهم أيضًا التحكم في وصول موظفي تكنولوجيا المعلومات إلى Kubernetes API وكذلك اتباع أفضل ممارسات تهيئة Kubernetes.

الشركات الكبرى ليست الهدف الوحيد للقراصنة. وفقًا لتقرير صدر هذا الأسبوع من باحثين في شركة أمنية تُدعى Lumen ، فإن المحتالين يلاحقون الشركات الصغيرة والأفراد من خلال أجهزة توجيه المكاتب الصغيرة أو المنزلية. أهداف هذه الحملة المستمرة في الولايات المتحدة وكندا وأوروبا. يعتقد الباحثون أن الأجهزة المخترقة تشمل نماذج من إنتاج Asus و Cisco Systems و DrayTek و Netgear. لا يوضح التقرير بالضبط كيف تم اختراق الأجهزة. ولكنه يؤدي إلى نسخ حركة المرور على الإنترنت ثم إلى اختراق سطح مكتب أو خادم يعمل بنظام Windows. يجب أن يتذكر مستخدمو المكاتب الصغيرة والمنزل إعادة تشغيل أجهزة التوجيه الخاصة بهم بانتظام لمسح البرامج الضارة ، ومراقبة تحديثات الأمان ليس فقط من مطوري البرامج ولكن أيضًا من الشركات المصنعة لأجهزة التوجيه.

من المهم أن تجري الإدارة مراجعة شاملة للأمن السيبراني لكل شركة يتم النظر فيها للاندماج أو الاستحواذ. هذا هو الاستنتاج الذي توصل إليه محلل في معهد SANS للتدريب على الأمن السيبراني بعد إطلاق الأسبوع الماضي للعقوبات التي فرضتها لجنة التجارة الفيدرالية الأمريكية على المالكين السابقين والحاليين لشركة تسمى CafePress. تم اختراقه في عام 2019. يتيح CafePress للمستهلكين تخصيص أشياء مثل القمصان والأكواب. زعمت اللجنة أن CafePress لم تزاحم بعض أرقام الضمان الاجتماعي أو إجابات إعادة تعيين كلمة المرور لبعض العملاء. نتيجة لذلك كانوا متاحين للقراصنة. كما يُزعم أنها فشلت في تطبيق الحماية المتاحة بسهولة ضد التهديدات السيبرانية المعروفة. ويُزعم أنه فشل في إخبار الضحايا بشأن خرق البيانات ، فقط لإعادة تعيين كلمات المرور الخاصة بهم.

اشترى المالك الحالي CafePress بعد خرق البيانات. يتطلب أمر اللجنة من المالك الحالي للشركة تعزيز أمان بيانات CafePress. ويطالب الأمر مالكه الحالي والسابق بدفع 500 ألف دولار أمريكي لتعويض الضحايا. يتم نشر بعض بياناتهم المسروقة على شبكة الإنترنت المظلمة.