اكتشاف ثغرة أمنية في أداة وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) المخصصة لشراء البرمجيات الآمنة للمؤسسات الحكومية يثير تساؤلات حول مدى فعالية الإجراءات الوقائية. يأتي هذا الاكتشاف بعد أن كشف باحث أمني عن طريقة يمكن من خلالها للمهاجمين استغلال الأداة، مما يوضح التحديات المستمرة في تأمين الأنظمة الرقمية.
كشف جيف ويليامز، الرئيس التنفيذي السابق لمبادرة أمن تطبيقات الويب المفتوحة (OWASP)، عن وجود ثغرة أمنية من نوع “البرمجة النصية عبر المواقع” (XSS) في أداة CISA المعروفة باسم “دليل شراء البرامج: أداة الويب لاستجابة الموردين”. وأشار ويليامز إلى أنه أبلغ الوكالة بالثغرة في سبتمبر الماضي، قبل أن يتم إصلاحها في ديسمبر.
ثغرة أمنية في أداة شراء البرمجيات الآمنة
تسمح ثغرة البرمجة النصية عبر المواقع (XSS) للمهاجمين بحقن تعليمات برمجية خبيثة، مثل جافاسكريبت، في صفحات الويب. يمكن لهذه التعليمات البرمجية مهاجمة مستخدمي الصفحة الآخرين أو حتى تغيير محتوى الموقع. اعتبر ويليامز، الذي يعمل أيضاً كرئيس تنفيذي للتكنولوجيا في شركة Contrast Security المتخصصة بأمن التطبيقات، أن اكتشاف هذه الثغرة كان سهلاً للغاية، كونه من أول الاختبارات التي قام بها.
وأعرب ويليامز عن دهشته تجاه وجود مثل هذه الثغرة في أداة تهدف إلى تعزيز تطوير البرمجيات الآمنة. “اعتقدت أنه من المتناقض أن تقوم بترويج تطوير البرمجيات الآمنة دون إجراء أبسط اختبار ممكن”، قال ويليامز.
التحديات في معالجة الثغرات
في البداية، رفضت CISA بلاغ ويليامز عن الثغرة، معتبرة أنها ليست حرجة بما فيه الكفاية. ومع ذلك، لفت انتباه الوكالة إلى الأمر لاحقاً من خلال برنامج بيئة المعلومات والتنسيق الخاصة بالثغرات الأمنية التابع لها. يذكر أن الإغلاق الحكومي الأمريكي ساهم في تأخير إصلاح الثغرة، رغم أن ويليامز قال إن إصلاحها لم يكن ليستغرق إلا دقائق معدودة.
بينما توجد ثغرات أكثر خطورة، أكد ويليامز أن العديد من عملائه يعتبرون هذه الثغرة خطيرة للغاية، نظراً لأهمية سمعتهم كأصل أساسي. يبرز هذا الموقف التأثير على سمعة المؤسسات، حتى مع الثغرات التي قد تبدو بسيطة.
دور CISA والتحديات الأمنية
يُبرز هذا الحادث أن دور CISA كداعية للأمن السيبراني لم يجعلها محصنة ضد الهجمات السيبرانية. وتشير تقارير سابقة إلى أن الوكالة نفسها تعرضت لاختراق في عام 2024، مما استدعى إخطار الكونغرس.
من جانبه، أكد روبرت كوستيلو، المسؤول الرئيسي للمعلومات في CISA، أن الوكالة اتخذت الإجراءات اللازمة فور تلقي إشعار بوجود ثغرة محتملة. “وفقاً للبروتوكول، قمنا بمعالجة الثغرة وإصلاحها، مع التأكد من عدم وجود مخاطر كبيرة أو استغلال معروف لها”، جاء في بيان له.
وأضاف كوستيلو أن الفريق حدد أيضاً تحسينات في العمليات للتعامل مع الثغرات التي يتم الإبلاغ عنها مستقبلاً. وفي إشارة إلى التزام الوكالة ببرنامج تعريف الثغرات الشائعة (CVE)، أوضح أن CISA اتبعت عمليات الإفصاح المنسق القياسية لإصدار CVE الذي يوثق الثغرة، معرباً عن تقدير الوكالة للتقرير المقدم من الباحث الأمني، واصفاً إياه بـ “مثال آخر على التعاون التشغيلي”.