كشفت أبحاث أمنية حديثة عن وجود 16 ثغرة أمنية في منصات وخدمات PDF تحظى بانتشار واسع عالمياً، وتحديداً التابعة لشركتي Foxit وApryse. وتتنوع مخاطر هذه الثغرات بين الاستيلاء على حسابات المستخدمين، واستخراج البيانات الحساسة، وصولاً إلى إمكانية تنفيذ أوامر برمجية مباشرة على الأنظمة في حالات محددة.
ووفقاً لما أورده فريق بحثي من شركة Novee للاختبارات الأمنية، جرى إبلاغ الشركتين بهذه الثغرات ضمن سياق الإفصاح المسؤول، وبالفعل أصدرت الشركتان تحديثات أمنية لمعالجة هذا الخلل.
حوكمة المعلومات: ما المؤكد حتى الآن؟
تؤكد المعطيات المتوفرة أن البحث استند إلى اختبارات منظمة أدت إلى استجابة تقنية من Foxit وApryse عبر إطلاق تحديثات برمجية، وتعديل الإعدادات الافتراضية لمنصاتهما، وتحسين إرشادات الأمان. ولا توجد حتى لحظة نشر هذا التقرير مؤشرات مؤكدة على وقوع هجمات واسعة النطاق استغلت هذه الثغرات فعلياً، ما يضع التهديد الحالي في إطار المخاطر المحتملة التي تستوجب التحديث الفوري لتجنب وقوعها.
تفاصيل الثغرات ومواضع الخلل
تركزت الأبحاث على مسارين رئيسيين في المنتجات المتأثرة، أولهما Apryse WebViewer، وهي حزمة تطوير SDK تتيح للمبرمجين عرض المستندات والتعليق عليها داخل تطبيقات الويب، وثانيهما Foxit PDF Cloud Services التي تتيح تحرير المستندات وتوقيعها عبر المتصفح. وتوزعت الثغرات المكتشفة بين ثغرة واحدة حرجة واثنتين عاليتا الخطورة لدى Apryse، بينما سجلت Foxit ثغرتين عاليتا الخطورة و11 ثغرة متوسطة الخطورة.
وتضمنت القائمة فئات تقنية تتطلب توضيحاً لغير المختصين، منها ثغرات XSS التي تسمح للمهاجم بوضع كود برمجي خفي داخل صفحة الويب لسرقة بيانات المستخدم بمجرد دخوله، وثغرة SSRF التي تخدع خادم الشركة وتدفعه للوصول إلى بيانات داخلية لا يحق للعامة رؤيتها. كما ظهرت ثغرة Path Traversal التي تمكن المهاجم من الوصول لملفات نظام التشغيل بعيداً عن المجلدات المسموح بها، إضافة إلى ثغرة OS Command Injection التي تسمح بإرسال أوامر مباشرة لنظام تشغيل الجهاز بصلاحيات كاملة.
كيف يتحول عارض PDF إلى بوابة اختراق؟
تكمن الخطورة الكبرى عند دمج عارض PDF داخل نطاق Domain موثوق لتطبيق مؤسسي يتطلب تسجيل دخول؛ إذ إن أي ثغرة من نوع XSS داخل العارض ستعمل بنفس صلاحيات الثقة الممنوحة للتطبيق الأصلي. هذا الوضع يرفع احتمالات سرقة رموز الجلسة والسيطرة على الحسابات، أو سحب مستندات وبيانات المستخدمين بشكل آلي، فضلاً عن التلاعب بمحتوى المستندات المعروضة أو تغيير التعليقات دون علم صاحبها.
وفي إطار الردود الرسمية، أفاد مسؤول أمن المنتجات في Foxit بأن الشركة تعاملت بسرعة مع البلاغات وعالجت الثغرات المحددة بالتعاون مع فريق Novee. ومن جهتها، ذكرت شركة Apryse أن كافة القضايا الأمنية أُغلقت عبر تحديثات للمنتج وتعزيز الإعدادات الافتراضية لضمان أمان أعلى للمستخدمين، مشيرة إلى خضوع أنظمتها لاختبارات دورية صارمة قبل كل إصدار.
خطوات عملية لتأمين المؤسسات
يتطلب خفض مستوى المخاطر القيام بتحديث فوري لمكونات Apryse WebViewer وFoxit PDF Cloud Services إلى أحدث إصداراتها، مع التحقق من وصول التحديث لكل بيئات العمل. وينصح الخبراء بضرورة عزل عارض الـ PDF على نطاق فرعي Subdomain معزول عن نطاق التطبيق الأساسي، وتفعيل سياسات الأمان مثل Content Security Policy CSP لتقييد تحميل أي موارد خارجية غير موثوقة، إضافة إلى رصد سجلات الدخول لأي سلوك غير معتاد قد يشير إلى محاولة وصول غير مصرح بها.
