لغة البرمجة المستخدمة في أغلب مواقع الإنترنت باتت معرضة للاختراق

  • تاريخ النشر: الإثنين، 29 أبريل 2019
لغة البرمجة المستخدمة في أغلب مواقع الإنترنت باتت معرضة للاختراق

أظهرت دراسة جديدة خاصة بالتهديدات الأمنية كشفت عنها شركة إف 5 نتوركس أن لغة البرمجة المستخدمة في تصميم أكثر من 80 بالمائة من مواقع الإنترنت العالمية باتت أكثر عرضة للإختراق مقارنة بأي وقت مضى. 

كما أظهرت معلومات جديدة توصلت إليها منصة دراسة وتحليل البيانات "لوريكا"، وهي شريك لشركة إف 5 نتوركس، أن 81 بالمائة من الأنشطة الخبيثة التي تمت مراقبتها على شبكة الإنترنت في عام 2018 كانت مرتبطة بشكل مباشر بلغة البرمجة النصية PHP، وهو ما يمثل ارتفاعاً بنسبة 23 بالمائة مقارنة بعام 2017. وقد تركزت عمليات المراقبة هذه على حملات الاستطلاع الإجرامية الأولية التي تبحث بالمقام الأول عن نقاط الاختراق الضعيفة على مستوى مدراء الشبكات بهدف اختراقها كجزء من سلسلة واسعة من الهجمات الخبيثة. 
 
وخلصت نتائج البحث الذي تم تضمينه في الجزء الأول من تقرير حماية التطبيقات الصادر عن شركة إف 5 نتوركس لعام 2019، إلى أن لغة البرمجة النصية PHP عانت من 68 بالمائة من كافة هجمات الاستغلال التي تم الإعلان عنها خلال عام 2018 ضمن قاعدة البيانات الخاصة بهجمات الاستغلال الخبيثة. 

وفي هذا السياق قال ساندر فينبرغ، مسؤول أبحاث ودراسات التهديدات الأمنية في شركة إف 5 نتوركس: "ليس من الغريب ظهور هجمات استغلال خبيثة واسعة الانتشار تستهدف لغة البرمجة النصية PHP بأعداد كبيرة للغاية، لكن ظهورها يثير القلق حقاً". 

وأضاف بالقول: "من المتوقع بحسب أبحاثنا أن تبقى لغة البرمجة النصية PHP واحدة من أضعف الروابط على شبكة الإنترنت، وأن تشكل في ذات الوقت إحدى أكبر نقاط الاستهداف في المستقبل المنظور". 

كما سلطت شركة إف 5 نتوركس كجزء من هذا البحث، الضوء أيضاً على أبرز الأساليب والتكتيكات التي استخدمت في تنفيذ هجمات الاستغلال ضد لغة البرمجة النصية PHP.  
وتقوم أدوات المراقبة في منصة "لوريكا" بالتعرف على محاولات الجهات الفاعلة المتمثلة بإنشاء اتصال مباشر مع الهدف والاستيلاء على البيانات المستهدفة من خلال تحديد مصدر عنوان أحد بروتوكولات الإنترنت أو عنوان أحد مواقع الويب. ويقوم المهاجمون غالباً بالتنقل بين مليارات الأهداف واستغلال فرصة استهداف إحداها، وبالتالي فإن تحديد عنوان ويب أو بروتوكول إنترنت معين هو أمر ليس بتلك الأهمية. لكن مع ذلك يحتوي النصف الأخير من عناوين مواقع الويب عادة على الملف أو المسار المستهدف. وهذا ما يمثل الموقع المحدد على خادم الويب الذي تقوم الجهة المهاجمة باستهدافه من بين كافة عناوين بروتوكول الإنترنت الأخرى. ويكشف هذا الموقع أيضاً الكثير من أهداف الجهة المنفذة للهجوم وتكتيكاتها. 

وقد لاحظت منصة أبحاث البيانات "لوريكا"على سبيل المثال، أن جزءاً كبيراً من الأنشطة الخبيثة على شبكة الإنترنت تركز على سبعة مسارات أو أسماء ملفات فقط. ويشيع استخدام هذه الملفات أو المسارات بقصد إدارة تطبيق phpMyAdmin والمعروف اختصاراً باسم PMA، وهو عبارة عن تطبيق ويب يُستخدم لإدارة نظام قواعد بيانات MySQL. 

كما أن 42 بالمائة من أصل 1.5 مليون عملية استهدفت أكثر من 100 ألف من مختلف مواقع الويب، كانت موجهة إلى سبعة عناوين ويب رئيسية. حتى أن حجم الأنشطة الخبيثة التي استهدفت هذه العناوين كانت متطابقة تقريباً من مسار إلى آخر، مع وجود اختلاف بنسبة 3 بالمائة بين الهجمات الأكثر تواتراً من جهة والأقل تواتراً من جهة أخرى. وكان توقيت حملات الاستهداف ضد هذه المسارات قريباً من التطابق أيضاً، كما أن مستوى ارتفاع وانخفاض حجم النشاط كان متناسقاً. 

وعند التدقيق بشكل أكبر، اكتشفت شركة إف 5 نتوركس أن 87 بالمائة من الأنشطة الخبيثة التي استهدفت مسارات تطبيق phpMyAdmin الشائعة، قد ظهرت من عنوانين فقط من أصل 66000 عنوان بروتوكول إنترنت التقطتها أدوات المراقبة في منصة "لوريكا". وقد وُجّهت كافة البيانات التي أظهرتها بروتوكولات الإنترنت المخترقة نحو مسارات تطبيق PMA السبعة. ولا يوجد إي عنوان بروتوكول إنترنت آخر يماثل هذا الحجم من الأنشطة الخبيثة، أو يُظهر أنماطاً مشابه لها، حتى عند استهداف ذات المسارات. ومن المثير للاهتمام أن عنواني بروتوكول الإنترنت هذان يتبعان لأنظمة تابعة لحرم جامعة أمريكا الشمالية. 

وأوضح السيد فينبرغ ذلك بقوله: "قام منفذو هذه الهجمات باستخدام عدد صغير من الأنظمة المخترقة على نحو أساسي، ثم نشرها ضمن شبكات الجامعة بهدف البحث عن أهداف محددة: من قبيل قواعد بيانات MySQL القديمة والمهملة، والمزودة بأنظمة مصادقة قابلة للاختراق". 

وأضاف: "قام هؤلاء المهاجمون بتحديد مجموعة محددة من المعايير المستهدفة على مستوى ضيق، لكن طبقوا بذات الوقت مسح شامل لشبكة الإنترنت انطلاقاً من عدد صغير من العناوين، ولم يحاولوا جاهدين تغطية أية دلائل يمكن أن توصل إليهم. وبما أن هجمات استغلال الثغرات المحتملة القائمة على حقن SQL كانت قد شكلت أكثر هجمات استهداف لغة البرمجة النصية PHP شيوعاً، فإن مشهد التهديدات بشكل كامل يبدو مشابهاً هذا العام أيضاً". 

وأشار السيد فينبرغ إلى أن جهود التخفيف من مخاطر هذا النوع من الحملات الخبيثة يجب أن يأخذ شكلاً واضحاً نسبياً، بشرط أن يدرك مالكو الأنظمة لما هو موجود على شبكاتهم بشكل كامل. وأردف قائلاً: "يجب الاعتماد على صفحات المصادقة المدرجة في القوائم البيضاء على مستوى مدراء الشبكة، فهي يوفر طريقة سهلة لمنع تصاعد مثل هذه الحملات الخبيثة".