في أكبر تجمع سنوي لصناعة الأمن السيبراني، اجتمع قادة أمن المعلومات ومسؤولو الأمن التنفيذيون (CISOs) في مؤتمري بلاك هات وDEF CON بمدينة لاس فيغاس الأسبوع الماضي، حيث تصدرت التطورات التحولية في الأمن السيبراني والذكاء الاصطناعي العامل بالوكالة (Agentic AI) العروض والإعلانات.
ومن أمن السحابة إلى ثغرات الذكاء الاصطناعي، كانت منصة المؤتمر شاهدة على أحدث الاكتشافات التي عرضها باحثو الأمن، مقدمة دروس عملية يمكن للمؤسسات الاستفادة منها في تطوير استراتيجياتها الدفاعية.
الذكاء الاصطناعي يفتح مسارات جديدة للهجوم
عرض باحثو الأمن في شركة Zenity سلاسل ثغرات تستغل الأوامر الموجهة الخبيثة وتؤثر على العديد من المساعدين الذكيين المؤسسيين، مثل ChatGPT وGemini وMicrosoft Copilot وغيرها. بعض هذه الهجمات، المعروفة باسم AgentFlayer، تعتمد على خداع المستخدم للنقر على رابط ضار، بينما يمكن تنفيذ أخرى دون أي تفاعل من المستخدم، فيما يُعرف بالهجمات الصفرية النقر (0-click attacks).
قدم الباحثون مثالاً لتجربة إثبات المفهوم استهدفت ChatGPT Connectors، وهي تقنية تربط المساعد الذكي بخدمات تخزين المستندات والملفات الخارجية (third-party file and document storage services). إذا تمكن المهاجم من إقناع المستخدم برفع ملف معدّل وطلب تلخيصه، يمكن تفعيل أمر خفي يبحث عن مفاتيح API في حساب Google Drive المرتبط، ثم إرسال هذه البيانات الحساسة إلى المهاجم.
خلال عرض آخر، أظهر David Brauchler من مجموعة NCC كيف أن الأنظمة التي تربط النماذج اللغوية الكبيرة (Large Language Models – LLMs) بمستودعات بيانات المؤسسات تتيح آليات جديدة لاستخراج كلمات المرور، مشيراً إلى ضعف تطبيق مبدأ انعدام الثقة (Zero Trust) وضرورة وضع تسميات موثوقية للبيانات (Trust Labels). وأوضح أن الضمانات الحالية غير كافية، حيث تمكنوا من استغلال النماذج للسيطرة على قواعد البيانات والحصول على تنفيذ أوامر في بيئات حساسة.
الخزائن الرقمية لبيانات الاعتماد (Credential Vault) عرضة للاختراق
كشف باحثون من شركة Cyata عن ثغرات حرجة في أنظمة إدارة بيانات الاعتماد المؤسسية، مثل HashiCorp Vault وCyberArk Conjur، نتجت عن أخطاء منطقية في آليات التحقق والمصادقة وتطبيق السياسات. تم إبلاغ الشركات المنتجة وإصدار إصلاحات قبل الإعلان عن الثغرات.
تُستخدم هذه الخزائن لحفظ بيانات الدخول والرموز الرقمية والشهادات (Credentials, Tokens, Certificates)، وهي عنصر رئيسي في خطوط إنتاج البرمجيات عبر تكاملها مع أدوات DevOps، ما يجعلها هدفاً مغرياً للمهاجمين.
مكونات العتاد (Hardware Components) تحتاج إلى مراجعة أمنية أعمق
عرض باحثون من Cisco Talos ثغرات في البرامج الثابتة ControlVault3 المدمجة في أكثر من 100 طراز من حواسيب Dell الموجهة للأعمال. هذه الثغرات قد تمكّن المهاجم الذي يمتلك وصولاً مادياً للجهاز من تجاوز تسجيل الدخول إلى ويندوز، أو زرع برمجية خبيثة تبقى حتى بعد إعادة تثبيت نظام التشغيل.
تم إصلاح جميع الثغرات الخمس بين مارس ومايو 2025. وأكد الباحثون أن هذه التقنية منتشرة في أجهزة Dell فقط، ولا توجد دلائل على استغلالها في الهجمات الواقعية حتى الآن.
العزل بين المستأجرين في أنظمة السحابة تحت المجهر
تناولت إحدى الجلسات ثغرة في بروتوكول داخلي غير موثق في Amazon ECS على خوادم EC2، تتيح لمهمة حاوية خبيثة (Malicious Container) بامتيازات منخفضة انتحال هوية وكيل ECS وسرقة بيانات اعتماد AWS من مهام أخرى ذات امتيازات أعلى على نفس الخادم.
أظهر الباحث Naor Haziz من شركة Sweet Security إمكانية استغلال قناة الاتصال بين وكيل ECS ولوحة التحكم عبر WebSocket للحصول على بيانات الاعتماد، ما يكسر افتراضات العزل بين الحاويات. أوصت AWS باستخدام نماذج عزل أقوى مثل Fargate.
ثغرة جديدة في ويندوز تتيح بناء شبكات بوت نت (Botnet)
في مؤتمر DEF CON، عرض باحثو SafeBreach تقنيات جديدة لهجمات حجب الخدمة الموزعة (DDoS) ضد أنظمة ويندوز، أطلقوا عليها اسم Win-DDoS. تعتمد هذه الهجمات على استغلال إطار العمل RPC مع ثغرات صفرية النقر في خدمات ويندوز، ما يسمح بإيقاف وحدات تحكم النطاق أو أجهزة أخرى داخل الشبكة، وبناء شبكات بوت نت.
جاء هذا الاكتشاف استكمالاً لأبحاث سابقة حول ثغرة Windows LDAP RCE المعروفة باسم LDAPNightmare.
