أخبار التقنية

تم اكتشاف ثغرة أمنية في رفض الخدمة في المكتبات التي يستخدمها GitHub وغيرها


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


على عكس الاختراقات التي تستهدف البيانات الحساسة أو هجمات برامج الفدية ، فإن عمليات استغلال رفض الخدمة (DoS) تهدف إلى تعطيل الخدمات وجعلها غير قابلة للوصول تمامًا.

حدثت العديد من هذه الهجمات في الذاكرة الحديثة ؛ في حزيران (يونيو) الماضي ، على سبيل المثال ، منعت Google ما كان في تلك المرحلة أكبر هجوم تم رفض الخدمة الموزع (DDoS) في التاريخ. ثم حطم أكامي هذا الرقم القياسي في سبتمبر عندما تم اكتشافه وتخفيفه من خلال هجوم في أوروبا.

في تطور حديث ، أعلنت شركة Legit Security اليوم عن اكتشافها لثغرة أمنية سهلة الاستغلال DoS في مكتبات تخفيض السعر المستخدمة من قبل GitHub و GitLab والتطبيقات الأخرى ، باستخدام خدمة تقديم تخفيض السعر الشائعة تسمى Commonmarker.

قال Liav Caspi ، الشريك المؤسس والمدير التقني لمنصة أمان سلسلة التوريد للبرامج: “تخيل إزالة GitHub لبعض الوقت”. قد يكون هذا اضطرابًا عالميًا كبيرًا ويغلق معظم متاجر تطوير البرمجيات. من المحتمل أن يكون التأثير غير مسبوق “.

حدث

قمة أمنية ذكية عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

نشرت GitHub ، التي لم تستجب لطلبات التعليق من قبل VentureBeat ، إقرارًا رسميًا وإصلاحًا.

هدف رفض الخدمة: التعطيل

يقوم كل من DoS و DDoS بتحميل خادم أو تطبيق ويب بشكل زائد بهدف مقاطعة الخدمات.

كما يصفه موقع Fortinet ، تقوم DoS بذلك عن طريق إغراق الخادم بحركة المرور وجعل موقع ويب أو مورد غير متاح ؛ يستخدم DDoS أجهزة كمبيوتر أو آلات متعددة لإغراق الموارد المستهدفة.

وليس هناك شك في أنها آخذة في الارتفاع – بشكل حاد ، في الواقع. أشارت Cisco إلى نمو بنسبة 776٪ على أساس سنوي في الهجمات من 100 إلى 400 جيجابت في الثانية بين عامي 2018 و 2019. وتقدر الشركة أن العدد الإجمالي لهجمات DDoS سيتضاعف من 7.9 مليون في 2018 إلى 15.4 مليون هذا العام.

ولكن على الرغم من أن هجمات DDoS لا تهدف دائمًا إلى تسجيل بيانات حساسة أو مدفوعات فدية ضخمة ، إلا أنها مع ذلك مكلفة. وفقًا لأبحاث Gartner ، يبلغ متوسط ​​تكلفة تعطل تقنية المعلومات 5600 دولار في الدقيقة. اعتمادًا على حجم المؤسسة ، يمكن أن تتراوح تكلفة وقت التعطل من 140 ألف دولار إلى 5 ملايين دولار في الساعة.

ومع وجود العديد من التطبيقات التي تتضمن رمزًا مفتوح المصدر – نسبة هائلة تصل إلى 97٪ وفقًا لتقدير واحد – لا تتمتع المؤسسات برؤية كاملة لوضعها الأمني ​​والثغرات المحتملة ونقاط الضعف.

في الواقع ، المكتبات مفتوحة المصدر “موجودة في كل مكان” في تطوير البرمجيات الحديثة ، كما قال كاسبي – لذلك عندما تظهر نقاط الضعف ، قد يكون من الصعب جدًا تتبعها بسبب النسخ غير المنضبطة من الشفرة الأصلية الضعيفة. عندما تصبح مكتبة شائعة ومنتشرة على نطاق واسع ، من المحتمل أن تؤدي إحدى الثغرات الأمنية إلى هجوم على عدد لا يحصى من المشاريع.

قال كاسبي: “يمكن أن تشمل هذه الهجمات تعطيل خدمات الأعمال الهامة ، مثل شل سلسلة توريد البرمجيات والقدرة على إطلاق تطبيقات أعمال جديدة”.

كشف الضعف

كما أوضح Caspi ، يشير تخفيض السعر إلى إنشاء نص منسق باستخدام محرر نص عادي موجود بشكل شائع في أدوات وبيئات تطوير البرامج. تقوم مجموعة كبيرة من التطبيقات والمشاريع بتنفيذ مكتبات markdown الشهيرة مفتوحة المصدر ، مثل المتغير الشائع الموجود في تطبيق GitHub المسمى GitHub Flavored Markdown (GFM).

تم العثور على نسخة من تطبيق GFM الضعيف في Commonmarker ، حزمة Ruby الشهيرة التي تنفذ دعم تخفيض السعر. (يحتوي هذا على أكثر من مليون مستودع تابع). وقد صاغ “MarkDownTime” ، وهذا يسمح للمهاجم بنشر هجوم DoS بسيط من شأنه إيقاف خدمات الأعمال الرقمية عن طريق تعطيل خطوط أنابيب تطوير التطبيقات ، كما قال Caspi.

وجد باحثو الأمن الشرعي أنه من السهل إثارة استنفاد غير محدود للموارد يؤدي إلى هجوم DoS. وأوضح أنه يمكن استهداف أي منتج يمكنه قراءة وعرض Markdown (ملفات * .md) ويستخدم مكتبة ضعيفة.

قال كاسبي: “في بعض الحالات ، يمكن للمهاجم استخدام هذه الثغرة الأمنية باستمرار لإبقاء الخدمة معطلة حتى يتم حظرها بالكامل”.

وأوضح أن فريق بحث Legit Security كان يبحث في نقاط الضعف في GitHub و GitLab كجزء من بحثها المستمر لأمان سلسلة توريد البرمجيات. لقد قاموا بالإفصاح عن مشكلة الأمان إلى المشرف المشترك ، وكذلك لكل من GitHub و GitLab.

قال كاسبي: “لقد قاموا جميعًا بإصلاح المشكلات ، ولكن تم نشر العديد من النسخ الأخرى من تطبيق تخفيض السعر وهي قيد الاستخدام”.

على هذا النحو ، “ينبغي استخدام تدابير الاحتراز والتخفيف.”

ضوابط قوية ، وضوح

لحماية أنفسهم من هذه الثغرة الأمنية ، يجب على المؤسسات الترقية إلى إصدار أكثر أمانًا من مكتبة التخفيضات وترقية أي منتج ضعيف مثل GitLab إلى الإصدار الأحدث ، كما نصح Caspi.

وبشكل عام ، عندما يتعلق الأمر بالحماية من هجمات سلسلة توريد البرامج ، يجب أن يكون لدى المؤسسات ضوابط أمان أفضل على مكتبات برامج الجهات الخارجية التي تستخدمها. تتضمن الحماية أيضًا فحصًا منتظمًا للثغرات الأمنية المعروفة ، ثم الترقية إلى إصدارات أكثر أمانًا.

أيضًا ، يجب مراعاة سمعة البرامج مفتوحة المصدر وشعبيتها – على وجه الخصوص ، تجنب البرامج غير الصيانة أو منخفضة السمعة. وقال Caspi ، ودائمًا ما حافظ على تحديث أنظمة SDLC مثل GitLab وتهيئتها بشكل آمن.

مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى
karnataka xvideo pornmovieswatch.org sex sagr
bangla chodan xshaker.net download indiansex video
بيرازر meyzo.info افلام دراما سكس
mallu blue film eroanal.net xnxxbest
locel xxx video waplo.info desi kannada sex
chut pics cumporntrends.com tight pussy xvideo
indian kitchen room tubedesiporn.com marwadi girl sex
bengoli xxx movie redwap3.com malayalam blue filim
indian@aloha tube eromoms.net www.pronstarxvidoes
bangla chodachudi pornjob.info meena sexy pics
صورة بنات سكس xxcmh.com فيلم سكس صيني
www desi xx com browntubeporn.com wild ass fuck
www.hot vido 3gpjizz.mobi sunny leone tube 8
funmaza dampxxx.org varun dhawan sex
اغتصاب مصري arabicpornvideo.com دخله براحه
toto togel situs togel toto slot situs toto rtp slot cerutu4d toto slot situs toto bo togel situs togel situs toto situs togel situs togel toto togel pam4d toto togel situs toto situs togel situs toto situs togel toto togel situs togel situs togel bandar toto situs togel bo togel situs toto situs togel situs toto situs togel toto slot pam4d bento4d bento4d bento4d jacktoto jacktoto cerutu4d cerutu4d situs toto situs togel situs toto situs toto situs toto situs togel situs toto bandar togel situs toto situs toto situs toto situs toto situs togel situs togel resmi situs togel situs toto resmi situs togel resmi situs toto toto slot situs toto situs toto situs toto situs togel situs toto situs toto macau bo toto bo toto situs toto toto togel situs toto togel resmi situs toto situs toto situs togel situs togel resmi pengeluaran macau situs toto situs toto situs togel situs togel situs toto situs toto toto slot situs toto situs togel situs toto slot cerutu4d bo toto situs toto situs toto situs toto situs toto macau cerutu4d situs toto situs toto macau bet togel toto togel gimbal4d gimbal4d toto slot situs toto situs toto toto slot situs toto situs toto toto togel situs toto toto slot situs togel situs toto slot live casino toto slot toto togel situs togel situs toto bandar togel bandar togel situs toto bo togel situs toto daftar situs togel situs togel situs toto situs toto situs toto bakautoto situs bandar togel bakautoto situs resmi toto togel bakautoto situs toto togel terpercaya 2024 situs toto situs toto