قام مهاجمو Facebook باستغلال java في اليوم صفر

تلقت سمعة جافا ضربة قوية مرة أخرى ، بعد أن كشف Facebook أن المهاجمين قد تسللوا إلى أنظمتها الداخلية بعد استغلال ثغرة يوم الصفر.

كما ذكرت PCMag.com في وقت متأخر بعد ظهر أمس ، قال الفيسبوك أن أنظمتها قد "استهدفت في هجوم متطور" في يناير كانون الثاني. وقالت الشركة في موقع Facebook Security على الموقع إن بعض موظفي Facebook ، ومن المفترض أنهم مطورون ، أصيبوا بعد زيارة موقع مطور برامج تابع لجهات خارجية. كان المهاجمون قد قاموا سابقًا بخرق موقع مطور البرامج وحقنوا تعليمات برمجية ضارة استغلت ثغرة أمنية في البرنامج المساعد لـ Java. وقال فيسبوك إن استغلال اليوم صفر تجاوز صندوق حماية جافا لتثبيت البرامج الضارة على أجهزة الكمبيوتر الضحية.

أبلغ Facebook عن هذا الاستغلال لشركة Oracle ، وتم تصحيحه في 1 فبراير. أوراكل في ذلك الوقت قالت إنه تم تحديد موعد الإصلاح في 19 فبراير ، ولكن تم تسريع الإصدار لأنه تم استغلاله في البرية. ليس من الواضح في هذه المرحلة أيًا من أخطاء برنامج بيئة وقت تشغيل Java (39 من أصل 50) التي تم إصلاحها في هذا التصحيح هي تلك المستخدمة في هذا الاستغلال.

أكد Facebook للمستخدمين أنه لم يتم اختراق أي من بيانات المستخدم في الهجوم ، لكنه لم يوضح ما إذا كانت أيًا من بياناته الداخلية قد تأثرت أم لا.

تويتر الضحية الأخرى؟

أخطر Facebook العديد من الشركات الأخرى التي تعرضت للهجوم نفسه وسلمت التحقيق إلى تطبيق القانون الفيدرالي. بينما لم تحدد الشركة هوية الضحايا الآخرين ، يتزامن توقيت الهجوم مع خرق تويتر. تم كشف بيانات اعتماد المستخدم في هذا الهجوم. الآن وبعد أن أصبحنا نعرف بعض تفاصيل الهجوم على Facebook ، فإن التحذير الخفي من Twitter حول تعطيل المكونات الإضافية لمتصفح Java أمر منطقي.

كما ذكر SecurityWatch سابقًا ، قال مدير أمن المعلومات في Twitter Bob Lord ، "نحن أيضًا نردد الاستشارات التي قدمها خبراء الأمن والأمن بوزارة الأمن الداخلي الأمريكية لتشجيع المستخدمين على تعطيل Java على أجهزة الكمبيوتر الخاصة بهم في متصفحاتهم."

تتراكم على AV ليس النقطة

أشار Facebook إلى أن أجهزة الكمبيوتر المحمولة التي تم اختراقها "كانت مصححة بالكامل وتعمل على تحديث برنامج مكافحة الفيروسات." انتقد بعض خبراء الأمن حقيقة إعادة تأكيد حجتهم بأن مكافحة الفيروسات كانت "تقنية فاشلة". قال عدد قليل إن على Facebook أن يكشف عن اسم بائع مكافحة الفيروسات حتى يعرف العملاء الآخرون ما إذا كانوا معرضين للخطر.

القصة التي يجب التركيز عليها هنا ليست ما إذا كان يجب على برنامج مكافحة الفيروسات اكتشاف استغلال Java ، بل أن Facebook نجح في استخدام دفاعه الطبقي للكشف عن الهجوم وإيقافه. وقال فيسبوك إن فريق الأمن بالشركة يراقب البنية التحتية بشكل مستمر للهجمات ويضع علامة على المجال المشبوه في سجلات DNS الخاصة بالشركات. قام الفريق بتتبعه مرة أخرى إلى جهاز كمبيوتر محمول خاص بالعامل ، ووجد ملفًا ضارًا بعد إجراء فحص الطب الشرعي ، ووضع علامة على العديد من أجهزة الكمبيوتر المحمولة الأخرى المعرضة للخطر بنفس الملف.

وقال أندرو ستورمز ، مدير العمليات الأمنية في nCircle ، لـ SecurityWatch: "لقد تم قبولنا على Facebook لرد فعلهم السريع على هذا الهجوم ، فقد وضعوه في مهده".

جنبا إلى جنب مع الأمن الطبقات ، كما يجري Facebook بانتظام المحاكاة والتدريبات لاختبار الدفاعات والعمل مع المستجيبين للحوادث. قام Ars Technica مؤخرًا بتسجيل رواية رائعة لأحد هذه التدريبات على Facebook حيث اعتقدت فرق الأمن أنهم كانوا يتعاملون مع رمز الاستغلال والصفور الخلفي. تستخدم هذه الأنواع من المحاكاة في العديد من المنظمات ، في القطاعين العام والخاص.

ليس من السهل التخلص من جافا

كما لاحظ SecurityWatch في وقت سابق من هذا الشهر ، فمن السهل أن تنصح المستخدمين بتعطيل Java في متصفحاتهم ، ولكن لا تزال العديد من أدوات العمل تعتمد على المكون الإضافي Java للمتصفح. على الرغم من أنني لست على علم بأي أدوات مطور تتطلب جافا في المستعرض ، إلا أن هناك الكثير من أدوات العمل السائدة الأخرى. في اليوم السابق ، واجهت مشكلة في جعل WebEx يعمل على Chrome (تم تعطيل Java) واضطررت إلى تذكر التبديل إلى Internet Explorer (تم تمكين Java).

المهاجمون يتسللون ويتعرضون للمواقع الشرعية ويهاجمون زوار تلك المواقع. احتفظ بالبرنامج ونظام التشغيل مصححين ، وقم بتشغيل برنامج الأمان المحدّث. قلل من سطح الهجوم حيث يمكنك ، ولكن الأهم من ذلك ، أن تكون على دراية بما يحدث على شبكتك.