كشفت وزارة الدفاع الأمريكية عن تفاصيل أربع نقاط ضعف أمنية في بنيتها التحتية. اثنان منهما لهما درجة خطورة عالية بينما حصل الآخران على درجة حرجة.
العيوب التي تم الإبلاغ عنها في أغسطس ويوليو، قد تسمح للمهاجمين باختطاف مجال فرعي أو تنفيذ تعليمات برمجية عشوائية عن بُعد أو عرض الملفات على الجهاز المتأثر.
تم الإبلاغ عن جميع المشكلات من خلال الكشف عن نقاط الضعف لدى الإدارة على منصة مكافأة الأخطاء HackerOne من قبل قراصنة أخلاقيين متميزين.
نقاط ضعف أمنية في وزارة الدفاع الأمريكية
إحدى نقاط الضعف الحرجة هي الاستحواذ على نطاق فرعي بسبب حاوية Amazon S3 غير المطالب بها. يقول المخترق الأخلاقي chron0x الذي وجد المشكلة إنه يمكن استغلالها لاستضافة محتوى ضار على نطاق شرعي.
يمكن بعد ذلك استهداف زوار موقع الويب بهجمات التصيد والبرمجة عبر المواقع. سيسمح الخلل أيضًا للمهاجم بتجاوز أمان المجال وسرقة بيانات المستخدم الحساسة.
من جهته، أبلغ Hzllaga عن الخلل الثاني ذات تصنيف الخطورة الحرج في 19 أغسطس. وهو هجوم عن بُعد يسمح بتنفيذ رمز على خادمDoD الذي يشغّلApache Solr ولم يتم إصلاحه أو تحديثه منذ أغسطس 2019.
أخطاء شديدة الخطورة
عيب آخر ناجم عن البرامج غير المصححة اكتشفه محلل أمن تكنولوجيا المعلومات دان (أحد المحاربين القدامى في البحرية الأمريكية وخفر السواحل)، وهو اجتياز مسار للقراءة فقط كان من الممكن أن يمنح المهاجم إمكانية الوصول إلى الملفات الحساسة التعسفية على النظام. وهو موجود في أحد منتجاتCisco .
الخطأ الثاني الأقل خطورة، هو حقن رمز على مضيف DoD قد يؤدي إلى تنفيذ تعليمات برمجية تعسفية، وفقًا لتقرير منe3xpl0it ، وهو اختبار اختراق في شركة الأمن السيبراني Positive Technologies.
وعلى الرغم من أن طبيعة الأخطاء ليست سرًا لوزارة الدفاع، فقد تم تنقيح بعض المعلومات في تقارير الأخطاء. في جميع الحالات، كانت وزارة الدفاع سريعة في التحقق من المشكلات التي تم الإبلاغ عنها وإصلاحها. وفقًا لإحصاءات منصة HackerOne ، تستغرق الإدارة حوالي ثماني ساعات في المتوسط لفرز الأخطاء والتعامل معها جميعًا.
تجدر الإشارة إلى أنه منذ أن بدأت وزارة الدفاع برنامج الكشف عن الثغرات الأمنية على HackerOne في نوفمبر 2016، عالجت 9555 مشكلة أمنية. والمثير للاهتمام هو أن الدائرة تعاملت مع أكثر من ثلثهم في الأشهر الثلاثة الماضية.
