تحذيرات من ثغرة أمنية في خدمة سحابية لمايكروسوفت
حذر باحثون أمنيون من شركة "Legit Security"، من ثغرة أمنية خطيرة في خدمة الحوسبة السحابية لشركة مايكروسوفت المعروفة بـ (Azure Pipelines).
وأكد الباحثون في الشركة المختصة في مجال الأمن السيبراني، أن "الثغرة المكتشفة قد تعرض أمن آلاف المشاريع مفتوحة المصدر للخطر، وتتيح لقراصنة الإنترنت إضافة تعليمات برمجية ضارة إلى كود المصدر الأصلي للمشاريع التي يتم اختبارها في النظام الأساسي. ويمكن أن يؤدي إدخال التعليمات البرمجية غير المصرح به إلى تعريض أمن البرنامج الذي يتم تطويره للخطر"، حسب موقع "أكسيوس" الأمريكي.
ويسمح الخلل في (Azure Pipelines) حسب تقرير الموقع الأمريكي للقراصنة بتجاوز الإجراءات والتدابير الأمنية، وربما الوصول إلى البيانات السرية والحساسة الموجودة في الكود".
لكن شركة مايكروسوفت أكدت، أن "الهجوم الفعلي باستخدام هذا الخطأ يحتاج إلى استغلال ثغرة أمنية أخرى بالإضافة إلى تلك الموجودة في الخدمة"؛ ما يعني أن الثغرة تتطلب نقاط ضعف أخرى لاستغلالها.
وذكر التقرير أن "مايكروسوفت أدخلت في أكتوبر الماضي، إصلاحا صغيرا على البرنامج لحل المشكلات أو نقاط الضعف، إلا أن المشكلة ظلت قائمة بالنسبة لمستخدمي إصدار Azure Pipelines المحلي، وأولئك الذين لم يقوموا بالتحديث يدويًا إلى الإصدار الأحدث".
ويشدد لياف كاسبي المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في شركة (Legit Security)، على أهمية حماية عمليات تطوير البرمجيات ضد التغييرات غير المصرح بها وانتهاكات البيانات.
وبحسب "أكسيوس" فإن "الاختراق الروسي لحسابات البريد الإلكتروني لكبار المسؤولين التنفيذيين يسلط الضوء على نقاط الضعف في بيئات الإنتاج الخاصة بالشركة".
ويؤكد التقرير أن "مايكروسوفت أظهرت استجابة سريعة لدراسة الثغرات الصادرة عن Legit Security، لحل المشكلات ومواجهة التهديدات الأمنية".
