روليت وصول الجذر: ثغرات في منصة أبحاث AWS تكشف البنية التحتية السحابية أمام استيلاء كامل

العنوان الفرعي: ثغرات حرجة في منصة Research and Engineering Studio التابعة لـAWS كان يمكن أن تمنح المهاجمين مفاتيح أحمال العمل السحابية الحساسة - إليك كيف، وما الذي هو على المحك.

في عالم أمن السحابة عالي المخاطر، حتى أكثر المنصات موثوقية قد تُخفي تهديدات صامتة. هذا الأسبوع، سارعت AWS إلى سدّ ثلاثية من الثغرات الحرجة في منصتها مفتوحة المصدر Research and Engineering Studio (RES) - وهي منصة تُشغّل بهدوء بيئات بحثية للجامعات والشركات والوكالات الحكومية حول العالم. هذه العيوب، لو تُركت دون معالجة، كان يمكن أن تتيح للمهاجمين انتزاع تحكم الجذر في أجهزة سطح المكتب الافتراضية وأنظمة إدارة العناقيد، ما يضع البيانات الحساسة والبنية التحتية أمام خطر جسيم.

حقائق سريعة

أصلحت AWS ثلاث ثغرات حرجة في RES، تؤثر في جميع الإصدارات حتى 2025.12.01.
أتاحت العيوب تنفيذ تعليمات برمجية عن بُعد ورفع الامتيازات، مع الاكتفاء بوصول مُوثَّق.
كان بإمكان المهاجمين استغلال ضعف التحقق من المدخلات وضوابط الوصول للحصول على امتيازات الجذر أو اختراق مكوّنات التنسيق الأساسية.
تم إصلاح جميع المشكلات في RES الإصدار 2026.03، مع توفر ترقيعات يدوية لمن لا يستطيعون الترقية فورًا.
يشمل الأثر المحتمل سرقة البيانات، واستخدام الحوسبة دون تصريح، والحركة الجانبية عبر خدمات AWS.

الثغرات، التي كشف عنها باحثون أمنيون وأُسنِدت إليها معرفات CVE: ‏CVE-2026-5707 وCVE-2026-5708 وCVE-2026-5709، تنبع من عاصفة مثالية من ضعف التحقق من المدخلات وقصور ضوابط الوصول. وعلى وجه الخصوص، كان بإمكان مهاجمين يمتلكون بيانات اعتماد مخترقة - أو موظفين من الداخل بسوء نية - حقن أوامر خبيثة داخل جلسات سطح المكتب الافتراضي أو التلاعب باستدعاءات واجهة API لرفع الامتيازات. إحدى الثغرات سمحت للمهاجمين بحقن شيفرة تُنفَّذ بصلاحيات الجذر على مضيفي سطح المكتب الافتراضي؛ وأخرى فتحت الباب لاختطاف ملفات تعريف مثيلات قوية، مانحةً وصولًا إلى شريحة واسعة من موارد AWS. أما الثغرة الثالثة فاستهدفت واجهة FileBrowser API، ما أتاح حقن أوامر مباشرة في مثيل EC2 الخاص بمدير العنقود - عقل نظام تنسيق RES.

الآليات التقنية أنيقة بقدر ما هي خطرة. فمن خلال إرسال مدخلات مُصاغة بعناية - مثل أسماء جلسات ملوّثة أو معاملات API - كان بإمكان المهاجمين تجاوز الحدود الأمنية القياسية. وبمجرد الدخول، يمكنهم التحرك جانبيًا، وتهريب بيانات بحثية حساسة، أو حتى استخدام الموارد السحابية المخترقة لشن هجمات إضافية. قد يبدو شرط الوصول المُوثَّق عاملًا مُقيِّدًا، لكن في بيئات تُعاد فيها استخدام بيانات الاعتماد أو تُصاد عبر التصيّد أو تُخترق بطرق أخرى، تصبح مساحة الهجوم واسعة على نحو مقلق.

ردّت AWS بإصدار RES النسخة 2026.03، التي تُحكم التحقق من المدخلات، وتُقوّي معالجة واجهات API، وتفرض ضوابط وصول أكثر صرامة. وبالنسبة للمؤسسات غير القادرة على الترقية فورًا - وهو سيناريو شائع في بيئات البحث والمؤسسات - تتوفر ترقيعات يدوية وخطوات تخفيف عبر مستودع RES الرسمي على GitHub. وتُحث فرق الأمن على تدقيق عمليات النشر لديهم، ودمج أحدث الإصلاحات (خصوصًا للإصدارات المخصصة أو المتفرعة)، وتعزيز المراقبة لرصد النشاط المشبوه. كما أن تدعيم إدارة الهوية والوصول، بما في ذلك المصادقة متعددة العوامل وسياسات أقل امتياز، يمكن أن يحدّ من التعرض أكثر.

هذا الحادث تذكير صارخ: في عصر المنصات المعقدة الأصلية للسحابة، يمكن لفحص تحقق واحد مُهمل أن يفتح الأبواب أمام اختراقات كارثية. يظل الترميز الآمن، والترقيع المتواصل، وإدارة الوصول اليقِظة هي أحجار الأساس للدفاع السيبراني الحديث. بالنسبة لمن يديرون أحمال عمل حساسة في السحابة، لا مكان للتراخي.

WIKICROOK

تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى تحكم كامل أو اختراق ذلك النظام.
رفع الامتيازات: يحدث رفع الامتيازات عندما يحصل المهاجم على وصول بمستوى أعلى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
التحقق من المدخلات: يتحقق التحقق من المدخلات من بيانات المستخدم وينظفها قبل المعالجة، ما يساعد على منع التهديدات الأمنية ويضمن أن التطبيقات تتعامل مع المعلومات بأمان.
ملف تعريف المثيل: يعيّن ملف تعريف المثيل في AWS أذونات لمثيلات EC2، ما يتيح لها وصولًا آمنًا إلى موارد AWS الأخرى باستخدام دور IAM.
الأقل: يعني مبدأ أقل امتياز منح المستخدمين أو الأنظمة الحد الأدنى فقط من الوصول الضروري، ما يقلل المخاطر الأمنية والإجراءات غير المصرح بها.