استعراض حِزَم برمجيات المصدر المفتوح الصغيرة والشهيرة في مقالات سورس فورج

تتراوح تحميلات المشاريع مفتوحة المصدر من 100,000 إلى مليون مرة، مما يُعد تقدمًا ملحوظًا وهائلًا، ومع الإمكانية المتوفرة من خلال النص المصدري المفتوح للتدقيق، قد تفكر في البحث عن أي أخطاء برمجية وثغرات أمنية ومن ثَم الكشف عنها، الأمر الذي يعتبر تصرفًا مقبولًا ومناسبًا جدًّا.

إذا كان يُعتقد أن سلسلة المشاكل المكتشفة حديثًا في سبعٍ من الحزم البرمجية الشهيرة، الموجودة على موقع شركة سورس فورج تعني أي دلالة، فإن الإجابة تكون لا في كلتا الحالتين.

مؤخرًا، تم نشر وحدات استغلال ثغرات مشروع ميتاسبلويت لتنفيذ أوامر ما بعد عملية المصادقة، وثغرات قراءة الملفات الخطيرة التي تعاني منها تطبيقات المشروع؛ مثل: “Moodle” و”vTiger CRM ” و”Openbravo ERP”، بالإضافة إلى برنامج مراقبة الشبكة “Zabbix”، وبرنامج لوحة التحكم المضيفة الخاصة بنظام التشغيل لينكس “ISPConfig”، والبرامج الاستهلاكية مثل حِزمة التثبيت “OpenMediaVault” و”NAS4Free”. وإجمالًا، تم تحميل هذه الحِزَم لأكثر من 16 مليون مرة؛ حيث جاءت في الصدارة حِزمة “Moodle” التي بلغ عدد تحميلها 4,8 مليون مرة.

يقول تود برديسلي مدير الإدارة الهندسية في مشروع ميتاسبلويت: “إنه على الرغم من أن هذه الحِزم ليست من طراز خادم الويب أباتشي، ولا لينكس، لكن لا يزال يتم تحميلها بشكلٍ كبير. فعندما أملك برنامجًا تم تحميله أربعة مليون مرة، فإنني أعتقد أن هذا كثير، وبفرض أنه مع تحميل تلك الحِزم لـ16 مليون مرة فإنه قد تم تثبيتها وتشغيلها اليوم بمعدل 1 أو 2%، وهذا يعني أن عدد مرات التثبيت قد بلغت رُبع مليون مرة.

اكتشف هذه الأخطاء البرمجية والثغرات الأمنية المهندس السابق في شركة “Rapid7” براندون بيري، الذي بعد أن عمِل على نظام الإنذار “DEF CON” قرر أن يبحث عن الأهداف والمشاكل التي يَسهُل حلها على موقع شركة سورس فورج؛ كالثغرات الأمنية في الحِزم الصغيرة التي على الأرجح يَسهُل التغلب عليها.

أضاف برديسلي: “أن تحميل هذه المشاريع لـ 16 مليون مرة يُعد قاعدة تثبيتٍ مُعتبرةٍ جدًّا، مصحوبًا بالمغامرات التي مررت بها لاكتشاف هذه الثغرات الأمنية، التي واجهت هؤلاء الأشخاص الذين نبهوني إلى افتقادهم للكفاءة في التعامل مع إشعارات الثغرات التي تصل إليهم، الأمر الذي يجعلني أعتقد أننا الأوائل أو حتى من بين الأوائل الذين أطلعوهم على مسألة الثغرات الأمنية. الشيء الغريب على سبيل المثال: هو أنك لم تصطدم بتلك الثغرات في خادم الويب أباتشي، أو حِزَم ومنتجات شركة مايكروسوفت”.

من المُرَجَّح، أن يستهدف الباحثون ومطوروا عمليات الاستغلال، ومدققوا الرموز والنصوص البرمجية ـ الحِزم الصغيرة، خاصةً عمليات اختبار الاختراق، ومع ذلك فإن بعض المشاريع البرمجية المذكورة هنا لا تعترف بوجود هذه المشاكل والثغرات الأمنية؛ فعلى سبيل المثال: لم يتم معالجة وتصحيح خمس حِزمٍ من أصل سبع. ولأن عملية الاستغلال تشترط الحصول على اسم المستخدم وكلمة المرور لكي يمكن تنفيذها، فإن ذلك يخفف من حدة تلك المشكلة إلى حدٍّ ما، ومع ذلك نرى القراصنة والمخترقين يثبتون عكس ذلك، وأنه لا يُعد أمرًا صعبًا جمع المعلومات التي تساعدهم في تعلم أو تخمين بيانات الاعتماد.

أما بالنسبة لحِزَم “Moodle”، فإنهم لا يرونها خطأً برمجيًّا وثغرةً أمنية، الأمر الذي يُعد جيدًا للغاية. لقد تحدثتُ إليهم، ووجدت أنهم يمتلكون أسبابهم المنطقية والمعقولة، التي تجعلهم يعتقدون ذلك ويرونه طبيعيًّا. لكن في النهاية، لا تُعير اختبارات الاختراق أي اهتمامٍ برأي الشركة المُصنِّعة، سواءٌ كان خطأً برمجيًّا أم لا. وفي حال اعترافهم بذلك، فإن هذا سوف يمثل أمرًا جيدًا للأشرار، ولاختبارات الاختراق.

وقال بيري في أحد تدويناته واصفًا المشكلة: “فعلى سبيل المثال: يمكن استغلال الثغرات الأمنية التي تعاني منها حزمة “Moodle”؛ للاستيلاء على جلسة عمل المشرف من خلال البرامج النصية عبر الموقع، مما يسمح للمهاجم بتسجيل الدخول عن طريق استخدام بيانات الاعتماد، ومن ثم يكون متاحًا له أن يُدخِل مفتاح جلسة العمل للمشرف. كما أن هذا سيجعل المستخدمين غير قادرين على الحصول على تطبيق الشبكة، مما قد يؤدي إلى الكثير من المشاكل شديدة الخطورة؛ مثل الاستيلاء على جلسة العمل، أو على ملفات تعريف الارتباط “الكوكيز”.

أضاف بيردسلي: “في اعتقادنا، أن هذا يوسع من دائرة فرض السيطرة والتحكم، وهذا ما لا يتوقعه المطورون ولا المستخدمون، كما أنني لا أتوقع أن نكون قادرين على مهاجمة منفذ 80. وبصفةٍ عامة، لا يُعد ذلك ميزةً في التصميم”.

كما يقول بيردسلي أنه قد تم الآن نشر الوحدات التي يمكن أن تستخدمها المنظمات التي تقوم بتشغيل حِزَم البرامج هذه؛ بهدف استغلال وتقييم حجم المخاطر الخاصة بتلك الحِزَم.

وأضاف: “أن كل هذه المشاكل تحدث عقب مرحلة ما بعد التوثيق والمصادقة، مما يعني أنك بحاجةٍ إلى أن يتوافر لديك اسم مستخدم وكلمة مرور على الأقل، وقد يكون ذلك كافيًا بدرجةٍ مناسبة. ويتيح لك الكشف عن تلك الوحدات بصفتك مديرًا لتكنولوجيا المعلومات ـ تدقيق كلمات المرور؛ وقد تكون هذه الكلمات سيئةً وضعيفة. أما إذا كانت كلمات المرور جيدةً وقوية، فإن كل شيءٍ سيكون على ما يرام. وفي حال عدم وجود أي ثغراتٍ أمنيةٍ في البرامج النصية عبر المواقع التي قد تسمح بالاستيلاء على جلسة العمل، فإن كل شيء سيكون على ما يرام أيضًا”.