توقيع للبيع: كيف كشف تسريب بسيط مستخدمي إضافة Atarim لخطر الاستيلاء على حسابات المدير

في يوم ثلاثاء هادئ، أسقط باحثٌ أمني قنبلة رقمية: استغلالًا يعمل بكامل وظائفه لإضافة Atarim على ووردبريس، إحدى أكثر أدوات الويب شيوعًا للتعاون في المشاريع وتلقي ملاحظات المواقع. في عالم الجريمة السيبرانية، يُعد نشر استغلالٍ تجريبي (PoC) بمثابة طلقة البداية للمهاجمين المحتملين - وهذا الاستغلال، الذي يستهدف CVE-2025-60188، بالكاد يمكن أن يكون أسهل استخدامًا. فجأة، يصبح كل موقع يشغّل Atarim بابًا مفتوحًا محتملًا.

حقائق سريعة

• تجاوز مصادقة حرج في إضافة Atarim (CVE-2025-60188) يتيح وصولًا بمستوى المدير دون بيانات اعتماد.
• يعتمد الاستغلال على site_id قابل للتنبؤ ومكشوف عبر REST API عامة بوصفه مفتاحًا تشفيريًا.
• شفرة استغلال PoC متاحة مجانًا وتتطلب حدًا أدنى من المهارة التقنية لنشرها.
• يمكن للمهاجمين استخراج بيانات مستخدمين حساسة، بما في ذلك البريد الإلكتروني وتعيينات الأدوار.
• يُحث على التصحيح الفوري؛ فالمواقع الضعيفة معرّضة لسرقة البيانات ومزيد من الاختراق.

تشريح بابٍ مفتوح

في صميم إخفاق إضافة Atarim يكمن خطأ تشفيري كلاسيكي: استخدام شيء يمكن التنبؤ به - ومتاح علنًا - كمفتاح سري لمصادقة الطلبات الإدارية. فقد اختار مصممو الإضافة site_id كأساس لتواقيع HMAC لديهم، وهي قيمة يُفترض أن تضمن اتصالًا آمنًا بين الموقع وخلفية الإضافة. لكن عبر كشف هذا المعرّف من خلال نقطة نهاية REST API عامة، سلّموا المهاجمين مفاتيح المملكة دون قصد.

كان الباحث الأمني m4sh-wacker أول من عرض التفاصيل القاتمة. فبمجرد الاستعلام عن واجهة API العامة، يستطيع أي طرف غير مُصادَق عليه استرجاع site_id. ومع هذه المعلومة، يصبح تزوير توقيع HMAC-SHA256 صالح - وهو ختم تشفيري للأصالة - أمرًا بالغ السهولة. يمكن للمهاجم الآن حقن هذا التوقيع في الطلبات، متجاوزًا عملية تسجيل الدخول، والحصول على وصول إلى وظائف AJAX قوية مثل wpf_website_users وwpf_website_details. والخلاصة: وصول كامل إلى قوائم المستخدمين، ورسائل البريد الإلكتروني، وتعيينات الأدوار، وحتى بيانات إعدادات حساسة أو مفاتيح ترخيص.

وعلى خلاف الهجمات الأكثر تعقيدًا، لا يتطلب هذا الاستغلال أي هندسة اجتماعية أو تصيّد أو هجوم بالقوة الغاشمة. كُتب PoC بلغة بايثون ولا يحتاج سوى إلى مكتبة requests الأساسية. أي شخص يملك طرفية (Terminal) ورابط هدف يمكنه أن يصبح مهاجمًا خلال دقائق. إن فورية الاستغلال وبساطته تخفضان العتبة التقنية، ما يجعل إساءة الاستخدام على نطاق واسع شبه مؤكدة إذا لم يتحرك مالكو المواقع بسرعة.

يحث الخبراء على التصحيح العاجل ويوصون مطوري الإضافات بتجنب استخدام المعرّفات القابلة للتنبؤ لأغراض تشفيرية. وبدلًا من ذلك، ينبغي أن تكون الأسرار المشتقة من ثوابت ووردبريس الآمنة ودوال المقارنة بزمن ثابت هي القاعدة لا الاستثناء. ويُنصح مسؤولو المواقع بتدقيق السجلات بحثًا عن وصول مريب وتقييد وظائف الإدارة إلى حين تطبيق التصحيحات.

الخلاصة: درس في (انعدام) الأمان

حادثة Atarim تذكير صارخ بأن حتى أكثر الإضافات شعبية قد تُخفي عيوبًا مدمّرة - وأحيانًا تكون مختبئة على مرأى من الجميع. ومع تداول استغلالات PoC بحرية، يصبح الخط الفاصل بين «ممكن» و«حتمي» رفيعًا كحد الشفرة. وفي سباق تأمين الويب، ليست الأسرار القابلة للتنبؤ أسرارًا على الإطلاق.

WIKICROOK

• إثبات المفهوم (PoC): إثبات المفهوم (PoC) هو عرض يثبت أن ثغرة أمنية يمكن استغلالها، ما يساعد المؤسسات على إدراك نقاط الضعف ومعالجتها.
• HMAC: HMAC هي طريقة تستخدم مفتاحًا سريًا ودالة تجزئة للتحقق من أن البيانات أصلية ولم تتغير أثناء النقل.
• REST API: واجهة REST API هي مجموعة قواعد تتيح لأنظمة برمجية مختلفة التواصل عبر الإنترنت، وتعمل كمترجم بين المواقع والتطبيقات.
• AJAX: تتيح AJAX لصفحات الويب تحديث البيانات بشكل غير متزامن، ما يحسن التفاعلية والسرعة، لكنها يجب أن تُؤمَّن لمنع ثغرات الويب الشائعة.
• ثابت (Constant): يشير الثابت في الأمن السيبراني غالبًا إلى قيم ثابتة أو تقنيات زمن ثابت تساعد على منع هجمات التوقيت وحماية المعلومات الحساسة.