🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

تم الكشف عن أكثر من 50,000 مستخدم لـ Azure AD عبر واجهة برمجة تطبيقات غير آمنة: BeVigil تكشف عن عيب خطير

أعطت نقطة نهاية API غير الآمنة المدفونة داخل ملف JavaScript للمهاجمين مفاتيح المملكة - الوصول المباشر إلى بيانات Microsoft Graph الحساسة لآلاف الموظفين، بما في ذلك كبار المديرين التنفيذيين. كشفت منصة BeVigil من CloudSek كيف يمكن أن تؤدي هذه الزلة الصامتة إلى سرقة الهوية وهجمات التصيد الاحتيالي والكوابيس التنظيمية. إليك كيفية تطور الأمر - وما يجب على مؤسستك القيام به للبقاء في أمان.

نيهاريكا راي
May 30, 2025
Green Alert
Last Update posted on
August 21, 2025
تاريخ العلوم الصحية في تونس العاصمة الأردنية الهاشمية

هل تعلم أن ٧٠٪ من الموارد، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية.

Schedule a Demo
Table of Contents
Author(s)
Coauthors image
Mayank Pandey

حددت منصة BeVigil التابعة لـ CloudSek مؤخرًا ثغرة أمنية خطيرة في موقع يمكن الوصول إليه للجمهور لعملاق طيران. نشأت الثغرة الأمنية من ملف JavaScript مكشوف يحتوي على نقطة نهاية API غير مصادق عليها. منحت نقطة النهاية هذه رموز الوصول إلى Microsoft Graph بامتيازات مرتفعة، مما أدى في النهاية إلى التعرض غير المصرح به للبيانات الحساسة التي تنتمي إلى أكثر من 50,000 مستخدم Azure AD.

ما الخطأ الذي حدث

وجد ماسح API الخاص بـ BeVigil أن حزمة JavaScript مع نطاق فرعي مضمنة في نقطة نهاية مشفرة تم الوصول إليها بدون مصادقة. أصدرت نقطة النهاية هذه رمزًا مميزًا لواجهة برمجة تطبيقات Microsoft Graph مع أذونات مفرطة، وتحديدًا User.Read.All و AccessReview.read.all. عادةً ما يتم تقييد هذه الأذونات نظرًا لقدرتها على الوصول إلى ملفات تعريف المستخدمين الكاملة وبيانات إدارة الهوية الهامة.

باستخدام هذا الرمز المميز، يمكن للمهاجم الاستعلام عن نقاط نهاية Microsoft Graph لاسترداد معلومات الموظف التفصيلية، بما في ذلك الأسماء وعناوين الوظائف وتفاصيل الاتصال وهياكل التقارير وحتى الوصول إلى تكوينات المراجعة. لا يؤدي هذا التعرض إلى تقويض خصوصية المستخدم فحسب، بل يفتح أيضًا الباب لتصعيد الامتيازات وسرقة الهوية وحملات التصيد المستهدفة، خاصة وأن البيانات على المستوى التنفيذي قد تم الكشف عنها أيضًا.

النطاق والشدة

التأثير بعيد المدى. كان من الممكن الوصول إلى البيانات المرتبطة بأكثر من 50,000 مستخدم، واستمرت نقطة النهاية في إرجاع السجلات للمستخدمين المضافين حديثًا. من بين المعلومات المكشوفة كانت المعرفات الشخصية وأسماء المستخدمين الرئيسية وتعيينات دور الوصول وتفاصيل الحوكمة الأخرى. إن التعرض لهذا الحجم يزيد بشكل كبير من سطح هجوم المؤسسة ويعرض مخاطر الامتثال في إطار أطر مثل GDPR و CCPA.

الآثار المترتبة على الأمان والامتثال

  • الوصول غير المصرح به للبيانات: يمكن للمهاجمين استغلال واجهة برمجة التطبيقات لاسترداد سجلات الموظفين السرية مباشرة من Azure AD.
لقطة من نقطة نهاية API الضعيفة

  • إساءة استخدام الرمز: يمكن أن يمنح الرمز الذي تم تسريبه رؤية غير مقيدة لهياكل الدليل الداخلي وقرارات الحوكمة.
لقطة من رمز التخويل الذي تم إنشاؤه
  • التعرض التنفيذي: كانت بيانات القيادة العليا متاحة، مما جعلها أهدافًا عالية القيمة لانتحال الشخصية أو الهندسة الاجتماعية.

افتح لقطة الشاشة 2025-05-30 في 12.33.26 PM.png

لقطة من التعرض للبيانات التنفيذية

  • الانتهاكات التنظيمية: يثير الكشف عن معلومات التعريف الشخصية دون ضمانات مناسبة مخاوف جدية بشأن الامتثال. تؤدي انتهاكات البيانات إلى تآكل ثقة المستخدم ويمكن أن تؤدي إلى الإضرار بالسمعة على المدى الطويل وتعطيل التشغيل.

العلاجات الموصى بها

اقترحت BeVigil تنفيذ الإجراءات التالية على سبيل الأولوية:

  1. تعطيل الوصول العام لواجهة برمجة التطبيقات: تقييد نقطة النهاية الضعيفة وفرض ضوابط مصادقة صارمة.
  2. إلغاء الرموز المخترقة: إبطال الرموز المكشوفة وتدوير بيانات الاعتماد المتأثرة.
  3. فرض الامتياز الأقل: مراجعة نطاقات الرمز المميز وحصرها على ما هو ضروري فقط.
  4. مراقبة استخدام API: تنفيذ التسجيل والتنبيه لاكتشاف نشاط Microsoft Graph غير الطبيعي.
  5. كود الواجهة الأمامية الآمن: تجنب تضمين نقاط النهاية الحساسة أو منطق الرمز المميز في البرامج النصية من جانب العميل.
  6. مراجعة الأذونات والأدوار: قم بمراجعة جميع أدوار Azure AD والوصول إلى المراجعات للتخلص من الأذونات المفرطة.
  7. تطبيق تحديد المعدل: حماية نقاط نهاية API من خلال عناصر التحكم في المعدل واكتشاف العيوب.

أفكار نهائية

يؤكد هذا الحادث على أهمية تأمين مكونات الواجهة الأمامية وضمان عدم تعرض خدمات الواجهة الخلفية الحساسة بشكل مباشر. يجب على المؤسسات مراقبة بنيتها التحتية الرقمية بشكل استباقي وفرض ضوابط وصول صارمة لحماية بيانات المستخدم والحفاظ على الامتثال التنظيمي. اليقظة في كل طبقة من طبقات التكنولوجيا ليست مجرد أفضل الممارسات، بل إنها ضرورية لحماية الثقة في عالم اليوم المترابط.

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

ذكاء نقاط الضعف
Table of Content

حددت منصة BeVigil التابعة لـ CloudSek مؤخرًا ثغرة أمنية خطيرة في موقع يمكن الوصول إليه للجمهور لعملاق طيران. نشأت الثغرة الأمنية من ملف JavaScript مكشوف يحتوي على نقطة نهاية API غير مصادق عليها. منحت نقطة النهاية هذه رموز الوصول إلى Microsoft Graph بامتيازات مرتفعة، مما أدى في النهاية إلى التعرض غير المصرح به للبيانات الحساسة التي تنتمي إلى أكثر من 50,000 مستخدم Azure AD.

ما الخطأ الذي حدث

وجد ماسح API الخاص بـ BeVigil أن حزمة JavaScript مع نطاق فرعي مضمنة في نقطة نهاية مشفرة تم الوصول إليها بدون مصادقة. أصدرت نقطة النهاية هذه رمزًا مميزًا لواجهة برمجة تطبيقات Microsoft Graph مع أذونات مفرطة، وتحديدًا User.Read.All و AccessReview.read.all. عادةً ما يتم تقييد هذه الأذونات نظرًا لقدرتها على الوصول إلى ملفات تعريف المستخدمين الكاملة وبيانات إدارة الهوية الهامة.

باستخدام هذا الرمز المميز، يمكن للمهاجم الاستعلام عن نقاط نهاية Microsoft Graph لاسترداد معلومات الموظف التفصيلية، بما في ذلك الأسماء وعناوين الوظائف وتفاصيل الاتصال وهياكل التقارير وحتى الوصول إلى تكوينات المراجعة. لا يؤدي هذا التعرض إلى تقويض خصوصية المستخدم فحسب، بل يفتح أيضًا الباب لتصعيد الامتيازات وسرقة الهوية وحملات التصيد المستهدفة، خاصة وأن البيانات على المستوى التنفيذي قد تم الكشف عنها أيضًا.

النطاق والشدة

التأثير بعيد المدى. كان من الممكن الوصول إلى البيانات المرتبطة بأكثر من 50,000 مستخدم، واستمرت نقطة النهاية في إرجاع السجلات للمستخدمين المضافين حديثًا. من بين المعلومات المكشوفة كانت المعرفات الشخصية وأسماء المستخدمين الرئيسية وتعيينات دور الوصول وتفاصيل الحوكمة الأخرى. إن التعرض لهذا الحجم يزيد بشكل كبير من سطح هجوم المؤسسة ويعرض مخاطر الامتثال في إطار أطر مثل GDPR و CCPA.

الآثار المترتبة على الأمان والامتثال

  • الوصول غير المصرح به للبيانات: يمكن للمهاجمين استغلال واجهة برمجة التطبيقات لاسترداد سجلات الموظفين السرية مباشرة من Azure AD.
لقطة من نقطة نهاية API الضعيفة

  • إساءة استخدام الرمز: يمكن أن يمنح الرمز الذي تم تسريبه رؤية غير مقيدة لهياكل الدليل الداخلي وقرارات الحوكمة.
لقطة من رمز التخويل الذي تم إنشاؤه
  • التعرض التنفيذي: كانت بيانات القيادة العليا متاحة، مما جعلها أهدافًا عالية القيمة لانتحال الشخصية أو الهندسة الاجتماعية.

افتح لقطة الشاشة 2025-05-30 في 12.33.26 PM.png

لقطة من التعرض للبيانات التنفيذية

  • الانتهاكات التنظيمية: يثير الكشف عن معلومات التعريف الشخصية دون ضمانات مناسبة مخاوف جدية بشأن الامتثال. تؤدي انتهاكات البيانات إلى تآكل ثقة المستخدم ويمكن أن تؤدي إلى الإضرار بالسمعة على المدى الطويل وتعطيل التشغيل.

العلاجات الموصى بها

اقترحت BeVigil تنفيذ الإجراءات التالية على سبيل الأولوية:

  1. تعطيل الوصول العام لواجهة برمجة التطبيقات: تقييد نقطة النهاية الضعيفة وفرض ضوابط مصادقة صارمة.
  2. إلغاء الرموز المخترقة: إبطال الرموز المكشوفة وتدوير بيانات الاعتماد المتأثرة.
  3. فرض الامتياز الأقل: مراجعة نطاقات الرمز المميز وحصرها على ما هو ضروري فقط.
  4. مراقبة استخدام API: تنفيذ التسجيل والتنبيه لاكتشاف نشاط Microsoft Graph غير الطبيعي.
  5. كود الواجهة الأمامية الآمن: تجنب تضمين نقاط النهاية الحساسة أو منطق الرمز المميز في البرامج النصية من جانب العميل.
  6. مراجعة الأذونات والأدوار: قم بمراجعة جميع أدوار Azure AD والوصول إلى المراجعات للتخلص من الأذونات المفرطة.
  7. تطبيق تحديد المعدل: حماية نقاط نهاية API من خلال عناصر التحكم في المعدل واكتشاف العيوب.

أفكار نهائية

يؤكد هذا الحادث على أهمية تأمين مكونات الواجهة الأمامية وضمان عدم تعرض خدمات الواجهة الخلفية الحساسة بشكل مباشر. يجب على المؤسسات مراقبة بنيتها التحتية الرقمية بشكل استباقي وفرض ضوابط وصول صارمة لحماية بيانات المستخدم والحفاظ على الامتثال التنظيمي. اليقظة في كل طبقة من طبقات التكنولوجيا ليست مجرد أفضل الممارسات، بل إنها ضرورية لحماية الثقة في عالم اليوم المترابط.

نيهاريكا راي

Related Blogs