تقارير أمنية: تطبيقات التدريب السحابية تتحول إلى ثغرات تهدد كبرى المؤسسات

كشفت أبحاث حديثة أجراها مختبر Pentera Labs عن نمط تشغيلي خطير يتكرر داخل البيئات السحابية للمؤسسات الكبرى. ويبدأ هذا المسار بوجود نماذج تدريبية تركتها الفرق التقنية مكشوفة أمام شبكة الإنترنت، ما يمنح المهاجمين نقطة دخول ميسرة تحول الحسابات السحابية إلى منصات لاستغلال الموارد أو تنفيذ هجمات أوسع.

ورصدت الدراسة مؤشرات استغلال فعلي داخل بيئات العملاء، شملت زرع أدوات لتعدين العملات المشفرة، وتنصيب برمجيات تحكم عن بعد، وإيجاد آليات تضمن بقاء المهاجم داخل النظام لفترات طويلة حتى بعد اكتشاف الاختراق الأولي.

تطبيقات ضعيفة عمداً في بيئات حقيقية

تركزت الأبحاث على فئة من تطبيقات التدريب المصممة برمجياً لتكون ضعيفة أمنياً لأغراض تعليمية، ومن أبرزها OWASP Juice Shop وDVWA وHackazon وbWAPP. وتستخدم هذه الأدوات عادة في التدريبات الأمنية أو العروض التوضيحية التقنية.

ووفقاً للدراسة، تكمن جذور المشكلة في طريقة نشر هذه التطبيقات داخل حسابات سحابية حقيقية، حيث يتم ربطها بهويات سحابية تمنحها صلاحيات وصول أوسع بكثير مما تتطلبه الحاجة التشغيلية الفعلية، وهو ما يحول أداة التدريب إلى جسر عبور للبيانات الحساسة.

أرقام ومؤشرات: 2000 مثيل مكشوف على الشبكة

أظهرت نتائج التحقق الميداني وجود نحو 2000 مثيل حي من تطبيقات التدريب هذه وهي متاحة للوصول العام عبر الإنترنت. وقدرت Pentera Labs أن نحو 60% من هذه الحالات تعمل على بنى تحتية يمتلكها العملاء مباشرة على منصات عالمية مثل AWS وMicrosoft Azure وGoogle Cloud.

وفي تحليل أعمق للبيئات المكشوفة، وجدت الأبحاث مؤشرات على نشاط خبيث في نحو 20% من الحالات المرصودة، وهو ما يعزز فرضية أن هذه البيئات لم تعد مجرد مختبرات تدريب، بل أصبحت ساحات نشطة لعمليات تعدين العملات الرقمية والسيطرة البرمجية.

مسار الاختراق: من تطبيق بسيط إلى سيطرة كاملة

توضح الدراسة مساراً متكرراً يبدأ بالوصول إلى تطبيق تدريبي متاح للإنترنت نتيجة إعدادات افتراضية أو عزل تقني ضعيف. وبمجرد الدخول، يتبع المهاجمون الخطوات التالية:

• استخراج البيانات: محاولة الحصول على بيانات اعتماد سحابية مؤقتة عبر خدمة بيانات التعريف (Metadata Service) من خلال العنوان الرقمي (169.254.169.254).
• توسيع الصلاحيات: استخدام أدوار وصول (IAM Roles) مفرطة الصلاحيات للانتقال من التطبيق المخترق إلى التحكم في موارد الحساب السحابي بالكامل.
• التحرك الجانبي: قدمت الدراسة مثالاً لدور يحمل صلاحية إدارة شاملة (AdministratorAccess)، مما يسمح للمهاجم بالتحرك داخل الحساب والوصول إلى موارد وبيانات لا صلة لها بالتطبيق التدريبي الأصلي.

وأكدت Pentera Labs أن أدواتها الآلية تحققت من أسماء الهويات السحابية وبيانات الاعتماد ومتغيرات البيئة، مما يثبت أن هذه التهديدات واقعية وليست مجرد افتراضات نظرية.

مؤسسات كبرى تحت المجهر

ربطت الدراسة هذه الأنماط ببيئات سحابية تابعة لجهات كبرى، حيث شملت قائمة الإفصاح المسؤول شركات مثل Cloudflare وF5 وPalo Alto Networks. وأكدت التقارير أن هذه الشركات تعاملت مع الثغرات فور إبلاغها وقامت بمعالجتها قبل نشر الدراسة.

وفي سياق متصل، أشار بيان صحافي للشركة في يناير الماضي إلى أن الاستغلال طال بيئات تابعة لشركات مدرجة في قائمة Fortune 500 ومزودي خدمات أمن سيبراني، حيث تُصنف هذه التطبيقات غالباً بأنها غير إنتاجية، بينما هي في الواقع مرتبطة بصلاحيات حقيقية داخل الأنظمة.

فجوة الرقابة في البيئات المؤقتة

يفسر الخبراء تكرار هذا الخلل بتعامل الفرق التقنية مع بيئات التدريب والعروض بوصفها منخفضة المخاطر ومؤقتة بطبيعتها. ومع مرور الوقت، تتراكم هذه البيئات خارج نطاق الرقابة الدورية أو مراجعات الوصول، ومع بقائها مكشوفة بكلمات مرور افتراضية، تصبح نقطة انطلاق مثالية للمهاجمين دون الحاجة لاستخدام ثغرات برمجية معقدة.