اكتشف باحثون ثغرة أمنية خطيرة في إضافة Axis Communications الخاصة ببرنامج Autodesk Revit أدت إلى كشف بيانات اعتماد حساسة لحسابات تخزين Azure، ما خلق مخاطر كبيرة لعملاء الشركة وفتح الباب أمام هجمات محتملة على سلاسل التوريد في قطاعي الهندسة والعمارة.
تعود الثغرة إلى بيانات اعتماد مضمنة في مكتبات DLL موقعة رقمياً وموزعة للعملاء عبر حزمة التثبيت MSI. ورصدت شركة Trend Micro الخلل في يوليو 2024 عندما كشفت قواعد فحصها في منصة VirusTotal وجود رموز Azure Shared Access Signature (SAS) داخل ملف موقع يحمل اسم AzureBlobRestAPI.dll.
كان المكون المتأثر تابعاً لشركة AEC Advanced Engineering Computation Aktiebolag، الشريك التقني لـAutodesk والمتخصصة في حلول AutoCAD وRevit، ما أطلق سلسلة من تقارير الثغرات وعمليات التصحيح استمرت عدة أشهر.
صلاحيات مفرطة وتهديد بتسميم قنوات التوزيع
أتاحت بيانات الاعتماد المكشوفة وصولاً غير مصرح به بخاصيتي القراءة والكتابة إلى ثلاث حسابات تخزين Azure مملوكة لشركة Axis Communications السويدية، المعروفة بتقنياتها في كاميرات المراقبة وحلول الفيديو الشبكية.
احتوت هذه الحسابات على ملفات حساسة، منها مثبتات Axis Plugin لـAutodesk Revit وملفات Revit Family Architecture (RFA) المستخدمة في مشاريع النمذجة المعمارية. وأدت الثغرة إلى احتمال استبدال المهاجمين للملفات الأصلية بنسخ خبيثة، ما يحول قنوات التوزيع الرسمية إلى آلية اختراق موجهة.
وبحسب تحليل Trend Micro، تفاقمت خطورة الثغرة مع اكتشاف الباحثين عبر مبادرة Zero Day Initiative (ZDI) لثغرات تنفيذ أوامر عن بعد في Autodesk Revit يمكن تفعيلها بمجرد استيراد ملفات RFA خبيثة. خلق هذا التداخل سيناريو معقداً يمكن للمهاجم فيه السيطرة على حسابات التخزين، ورفع ملفات معللة، واستهداف قاعدة واسعة من مستخدمي Axis Communications عبر سلسلة توريد موثوقة.
تحليل تقني للثغرة والتصحيحات
تستند الثغرة إلى ضعف في إدارة بيانات الاعتماد ضمن بنية الإضافة، حيث عثر الباحثون على رموز Azure SAS وأزواج مفاتيح مشتركة لحسابات تخزين باسم axisfiles وaxiscontentfiles داخل دالة خاصة باسم internalSetEnvironment في فئة AzureBlobRestAPI.DataTypes.Classes.Global.
منحت هذه البيانات صلاحيات كاملة تشمل القراءة والكتابة والحذف والإنشاء والتحديث والتنفيذ، وهو ما يتجاوز مبدأ الحد الأدنى من الامتيازات بشكل كبير، ما مكن المهاجمين من الوصول إلى المحتوى وتعديله ورفع ملفات بديلة.
حاولت Axis Communications معالجة المشكلة في النسخة 25.3.710 عبر تقنيات تعمية باستخدام أداة Eazfuscator، لكن الباحثين أكدوا سهولة فك التعمية بأدوات متاحة مثل de4dot، ما كشف أن الحل لم يعالج الجذر الحقيقي للمشكلة المتمثل في تخزين بيانات الاعتماد داخل كود العميل نفسه.
وتعقد الموقف أكثر بوجود نسخ قديمة من الإضافة في حسابات التخزين تحمل بيانات اعتماد مفتوحة. وحتى بعد إصدار النسخة 25.3.711 التي استخدمت رموز SAS بصلاحيات قراءة فقط، ظل بإمكان المهاجمين الوصول إلى الإصدارات القديمة وتجاوز الإصلاح حتى تأمين جميع النسخ التاريخية.
أكدت Axis Communications لاحقاً إغلاق جميع الثغرات بالكامل في النسخة 25.3.718، مع معالجة كافة التقارير السابقة. كما أبلغت الشركة شركاءها وعملاءها المتأثرين، موضحة أن إضافة Revit تقدم حصراً لشركاء محددين وليست متاحة للعامة.
يسلط هذا الحادث الضوء على المخاطر المتزايدة في سلاسل توريد البرمجيات الهندسية، حيث يمكن لثغرة في مكون طرف ثالث أن تتحول إلى قناة استغلال واسعة النطاق داخل بيئات تعتمد على الثقة والتكامل التقني.
