كان من الممكن أن يكون التكوين الخاطئ لـ CodeBuild CI/CD – والذي اكتشفه باحثو Viz وتم علاجه سريعًا بواسطة AWS – قد عرّض عددًا كبيرًا من بيئات عملاء AWS للخطر ويجب أن يكون بمثابة “جرس إنذار” لصناعة الأمن السيبراني، حسبما قال Ami Luttwak، كبير مسؤولي التكنولوجيا في Viz، لـ CRN.
يجب أن يكون نظام AWS الذي تم تكوينه بشكل خاطئ والذي تم تصحيحه في أغسطس – لتجنب حدوث اختراق كبير وغير مسبوق لسلسلة توريد البرامج – بمثابة تحذير لصناعة الأمن السيبراني حول المخاطر غير المعترف بها في عملية تطوير البرمجيات الحديثة، وفقًا لباحثي Viz الذين استكشفوا المشكلة.
وفقًا للشركات، تم إصلاح التكوين الخاطئ لـ CodeBuild CI/CD بسرعة بواسطة AWS بعد أن اكتشفه باحثون في شركة Viz لأمن السحابة والذكاء الاصطناعي، ولم تتأثر أي حسابات عملاء. ومع ذلك، فإن هذه المشكلة – التي كان من الممكن أن تعرض عددًا كبيرًا من بيئات عملاء AWS للخطر إذا اكتشفها ممثل التهديد في وقت سابق – يجب أن تكون بمثابة “جرس إنذار” لصناعة الأمن السيبراني، كما أشارت إيمي لوتواك، المؤسس المشارك لشركة Viz والمديرة التقنية للتكنولوجيا. crn.
(ذات صلة: 10 هجمات إلكترونية وخروقات بيانات كبرى في عام 2025)
قال Luttwak، “إن حقيقة أن نظام CI/CD، مع التكوين الخاطئ، يمكن أن يسمح لك بالحصول على وصول المسؤول إلى مستودع الإنترنت – فهو يكسر تمامًا حاجز الأمان الذي فكرنا فيه (حتى الآن).”
وبعبارة أخرى، “قد يكون التأثير المحتمل شيئا لم نشهده من قبل”. “لم نشهد قط هجومًا على سلسلة التوريد بهذا النطاق.”
تختلف المشكلة – التي أطلق عليها فريق بحث Viz اسم “اختراق التعليمات البرمجية” – عن حوادث سلسلة توريد البرامج السابقة التي تضمنت التلاعب بالرموز في تطبيقات الطرف الثالث، مثل تسويات SolarWinds وCodecove التي شعرت بها على نطاق واسع.
وفقًا لفيس، فإن الاختلاف في هذه الحالة هو أن الباحثين أثبتوا أنهم قادرون على تعريض نظام إنشاء البرامج نفسه للخطر، وهو ما يمكن أن يكون له تأثير أوسع بكثير بسبب انتشار الأنظمة السحابية في كل مكان.
وفقًا لـ Viz، كان من الممكن أن يؤثر التكوين الخاطئ على وحدة تحكم AWS، وهي لوحة تحكم قائمة على الويب لإدارة الخدمات على النظام الأساسي السحابي – مما يعني أن عددًا لا يحصى من حسابات AWS قد يكون في خطر.
وقال لوتواك، إن هذا في نهاية المطاف هو نوع جديد من الهجمات لأنه “يتجاوز جميع الضوابط الأمنية الحالية التي تطبقها الشركات”. “أعتقد أننا سنرى المزيد والمزيد من هذه الأنواع من الهجمات والهجمات ذات التأثير الأكبر.”
إمكانية “التسوية على مستوى المنصة”
نتيجة للتكوين الخاطئ لـ CodeBuild CI/CD، اكتشف باحثو Viz أن “الاستيلاء الكامل على مستودع AWS GitHub الرئيسي” كان ممكنًا، حسبما ذكرت الشركة في منشور بالمدونة.
والأهم من ذلك، اكتشف باحثو Viz أنهم قد يعرضون للخطر AWS JavaScript SDK، وهي مكتبة أساسية تستخدم لتشغيل وحدة تحكم AWS.
ويقول المنشور إن استغلال الثغرة الأمنية قد يسمح لممثل التهديد بإدخال تعليمات برمجية ضارة، مما قد يؤدي إلى “تسوية على مستوى النظام الأساسي”.
وبعبارة أخرى، فإن المهاجم الذي استغل المشكلة لاختراق وحدة تحكم AWS، سيعمل على تشغيل التعليمات البرمجية الضارة الخاصة به على “كل موقع ويب خاص بحساب AWS”، كما قال يوفال أفرامي، الباحث في الثغرات الأمنية في Viz الذي اكتشف المشكلة في البداية.
إخماد سريع
وفقًا للشركات، بعد أن كشفت Viz عن مشكلة CodeBuild لـ AWS في أواخر أغسطس، قامت AWS بتخفيف المشكلة الرئيسية في غضون 48 ساعة.
بالإضافة إلى ذلك، “حققت AWS على الفور في أبحاث Viz ولم تجد أي تأثير على سرية أو سلامة أي بيئة عملاء أو خدمة AWS”، حسبما قالت AWS في بيان. crn. “ولتخفيف أي مخاطر مستقبلية محتملة تتعلق بالنتائج، قمنا بتنفيذ تدابير إضافية.”
وفقًا لنير أولفيلد، رئيس قسم أبحاث الثغرات الأمنية في Vis، كانت AWS “حساسة للغاية” وتحركت بسرعة لمعالجة المشكلة بعد الكشف عنها.
وقال أولفيلد إن حقيقة قيام AWS بإغلاق المشكلة في غضون 48 ساعة كانت “مثيرة للإعجاب حقًا بالنسبة لمنظمة بهذا الحجم”.
لدى Viz، التي من المتوقع أن تنهي عملية استحواذها على Google بقيمة 32 مليار دولار هذا العام، سجل حافل اكتشاف ثغرات كبيرة في السحابة العامة مثل ثغرة “ChaosDB” متعددة المستأجرين وثغرة “OMIGOD” المستغلة على نطاق واسع، وكلاهما أثر على Microsoft Azure.
زاد الوعي
وبالنظر إلى المستقبل، قال باحثو Vis إنهم يأملون أن يؤدي حادث “Codebreach” إلى خلق وعي واسع النطاق بالحاجة إلى حماية خطوط أنابيب CI/CD ومستودعات التعليمات البرمجية المصدر وأنظمة بناء البرامج من المخاطر.
وقال لوتواك إن هذه هي المناطق التي “ليس لدينا فيها ضوابط وحواجز وحدود كافية” في الوقت الحالي.
وقال إنه في صناعة الأمن، “عادةً ما نبدأ بالتعرض في بيئة الإنتاج”. “الآن، بعد أن فهمنا سطح الهجوم هذا، نعتقد أن الصناعة تحتاج أيضًا إلى البدء في النظر إلى أنظمة CI/CD، وGitHub، وأجهزة المطورين، وبرامج الطرف الثالث. هذه أنواع جديدة من أسطح الهجوم التي نحتاج إلى التركيز عليها.”
