ملخص
- جعلت ثغرة MOVEit توقيت التحديث مشكلة إفصاح، إذ لوحظ الاستغلال قبل الإصلاحات العامة وقبل أن يعلم العديد من المشغلين أنهم في النطاق. كان تحديث 31 مايو قادرًا على منع استغلال لاحق، لكنه لم يستطع إثبات أن سرقة 27-30 مايو لم تكن قد حدثت بالفعل.
- كان العنصر الهش هو طبقة التحكم في نقل الملفات: تطبيق يواجه الإنترنت يُستخدم لمصادقة التبادلات، والاحتفاظ بالملفات الحساسة، وأتمتة عمليات النقل المتكررة، وإنتاج أدلة تدقيق. عندما اختُرقت طبقة التحكم هذه، أصبح السؤال التالي هو الملفات التي كانت موجودة، والعملاء الذين يملكونها، والأشخاص الذين يجب إخطارهم.
- تحكمت Progress في إصلاحات المنتج، واستجابة السحابة، والاستشارات، والتواصل مع الدعم. وتحكم المشغلون المحليون في التعرض، وتطبيق التحديثات، والتسجيل، والاحتفاظ بالملفات، والتحقيق المحلي. وتحكم مالكو البيانات في خرائط الموردين وواجبات الإشعار. جعلت حدود التحكم هذه نفس الثغرة تنتج جداول زمنية مختلفة جدًا للإفصاح.
- الدرس الدائم هو أن برامج التحديث الطارئ للبنية التحتية لنقل الملفات تحتاج إلى خطط أدلة مبنية مسبقًا: سجلات دائمة، احتفاظ قصير بالملفات المتبادلة، ملكية العميل المخططة، توجيه الانقطاع المُختبر، ولغة استشارية تميز "حدّث الآن" عن "قد تكون تعرضت للاختراق بالفعل".
خريطة الأدلة
| # | المصدر العام | الاستخدام في هذا التحليل |
|---|---|---|
| 1 | إعلان Progress MOVEit في 31 مايو | الإعلان الأساسي لـ CVE-2023-34362 وتعليمات الحماية الفورية. |
| 2 | أسئلة شائعة حول ثغرات Progress MOVEit | تسلسل التحديثات للعملاء، قائمة الثغرات، والتمييز بين السحابة والنشر المحلي. |
| 3 | تحديث استجابة Progress في 5 يونيو | استجابة الشركة، استعادة السحابة، الدعم الجنائي، وإرشادات العملاء. |
| 4 | تحديث الشفافية Progress في 13 يونيو | مراجعة إضافية للكود، ثغرات لاحقة، ووتيرة التحديثات. |
| 5 | ملاحظات إصدار MOVEit Transfer 2023 | سياق ملاحظات الإصدار للإصلاحات الأمنية الساخنة والفروع المُستدامة. |
| 6 | نموذج 10-Q للعام 2023 لشركة Progress | وصف مقدم للحادثة، قيود رصد النشر المحلي، واستجابة السحابة. |
| 7 | نموذج 10-K للعام 2024 لشركة Progress | سياق قانوني لاحق، تحقيق، ومخاطر الأعمال. |
| 8 | إعلان انتهاء تحقيق SEC | سجل عام لاحق حول إغلاق تحقيق SEC. |
| 9 | مدخل CVE-2023-34362 في NVD | وصف الثغرة وسياق الشدة. |
| 10 | مدخل CISA للثغرات المُستغلة | الموعد النهائي للإصلاح الفيدرالي وحالة الثغرة المُستغلة. |
| 11 | استشارة CISA و FBI AA23-158A | مؤشرات، سياق الجهة الفاعلة، وإجراءات دفاعية. |
| 12 | صفحة معلومات MOVEit في NCSC البريطاني | توجيه من هيئة الأمن السيبراني الوطنية وإطار القطاع العام. |
| 13 | بيان FCA البريطانية حول MOVEit | إشعار قطاع المالي واهتمام الشركات الخاضعة للتنظيم. |
| 14 | Mandiant zero-day analysis | أول استغلال ملاحظ، سلوك LEMURLOOT، وميكانيكية سرقة البيانات. |
| 15 | جدول Rapid7 الزمني لـ MOVEit | الجدول الزمني للحادثة، الاستغلال الملاحظ، وتسلسل الثغرات اللاحقة. |
| 16 | تحليل استجابة Huntress السريع | قدرة سلسلة الاستغلال، الآثار، والملاحظات الدفاعية. |
| 17 | تحليل تعرض Censys | رؤية المضيفين المُعرضين للإنترنت وعدد حالات التعرض. |
| 18 | تحليل Censys للصناعة | حدود أدلة التعرض وتوزيع القطاعات. |
| 19 | تحليل Emsisoft لاختراق MOVEit | تحليل عام للضحايا وحجم الإفصاح، استُخدم كسياق ثانوي. |
| 20 | تقرير نوفا سكوشا العام حول MOVEit | تسلسل زمني لمشغل حكومي: التحديث، إعادة الإغلاق، وتأكيد السرقة. |
| 21 | صفحة حوادث أمن البيانات لوزارة التعليم في مدينة نيويورك | تأثير على مالك البيانات ومثال على نسخ الملفات. |
| 22 | إشعار اختراق طرف ثالث لـ CalPERS | مثال على تعرض بيانات المتقاعدين عبر مورد وسيط. |
كانت طبقة التحكم هي العنصر الذي فشل
كان MOVEit Transfer أداة للتبادل المُراقب. وهذا ما جعل الحملة وخيمة العواقب. لم يكن النظام المُصاب تطبيق ويب عادي يحتفظ ببيانات جلسة قليلة الأهمية. بل كان طبقة تحكم لنقل الملفات. كان يُوثق المستخدمين، ويُخزّن أو يُجهّز الملفات، ويُؤتمت عمليات النقل، ويُسجّل النشاط، ويجلس على الحدود بين المنظمات التي تثق ببعضها بما يكفي لنقل سجلات حساسة. إن أي فشل على هذه الحدود يُغيّر من الأمان والأدلة معًا.
غالبًا ما يُنظر إلى هذا الحدث كمشكلة حدود ثقة في نقل الملفات، وهذا الإطار ضروري. لكن عدسة طبقة التحكم الأضيق تسأل كيف حوّل توقيت التحديث وحفظ الأدلة وتسلسل الاستشارات ثغرة مُستغلة واحدة إلى أشهر من أعمال الإفصاح. الفرق الجوهري هو بين إصلاح الكود المُصاب وإعادة بناء ما سمحت به طبقة التحكم بالفعل. يمكن للتحديث إغلاق مسار الدخول. لكنه لا يستطيع إخبار نظام تقاعد أي الأعضاء المتقاعدين كانت بياناتهم داخل ملف مسروق. ولا يمكنه إخبار نظام مدرسي أي التقييمات نُسخت. ولا يمكنه إخبار مزود خدمة أي العملاء كانوا يملكون السجلات المُخزنة في مجلد إذا كان الاحتفاظ، والتسمية، وبيانات الملكية، والسجلات ضعيفة.
لهذا السبب تحتاج منصات نقل الملفات المُدارة إلى نموذج جاهزية مختلف عن برمجيات الحافة العادية. إن غرضها هو الاحتفاظ بالبيانات الحساسة أثناء الحركة، أحيانًا لفترة وجيزة وأحيانًا أطول مما يتوقع أي شخص. إذا استغل المهاجمون المنصة، يمكن أن يكون تعرض البيانات فوريًا حتى لو لم يتم اختراق باقي الشبكة. ووصفت تقارير عامة من العديد من الضحايا سرقة من بيئات MOVEit بدلاً من السيطرة الكاملة على المؤسسة. هذا الاختراق الأضيق ما زال يُنتج أزمة إفصاح واسعة لأن الملفات نفسها مثّلت العديد من الأشخاص والعديد من مالكي البيانات في المراحل التالية.
سيطرت Progress على المنتج وبيئات MOVEit Cloud. وسيطر العملاء الذين يستخدمون النشر المحلي على حواسيبهم الخاصة. واستخدمت بعض المؤسسات مزودي خدمة يُشغّلون MOVEit نيابة عنها. هذا المزيج جعل المساءلة ليست بسيطة ولا غامضة. يمكن للبائع إصدار تحديثات واستشارات. ويمكنه تحديث خدمته السحابية. لكنه لا يستطيع دائمًا معرفة الإصدار، أو التعرض، أو الملفات المُخزنة، أو سجلات المنشآت التي يُشغّلها العميل. ويمكن للمُشغّلين منع الوصول، وتطبيق التحديث، وحفظ الأدلة، وفحص الأنظمة المحلية. لكنهم لا يستطيعون إعادة كتابة كود المنتج المُصاب قبل وجود تحديث. ويمكن لمالكي البيانات إخطار الأشخاص فقط بعد أن يفهموا ما إذا كانت سجلاتهم ضمن الملفات المتأثرة.
وهكذا أصبح توقيت التحديث هو توقيت الإفصاح. كل ساعة قبل أن يكون التحديث عامًا يمكن أن تكون نافذة سرقة. وكل ساعة بعد أن يكون التحديث عامًا ولكن قبل أن يمنع المُشغّل الوصول يمكن أن تكون نافذة خطر جديدة. وكل ساعة تُقضى في التحديث دون حفظ الأدلة يمكن أن تضر بالقدرة على تحديد نطاق الاختراق. وكل يوم يُقضى في ربط الملفات بالعملاء يؤخر إخطار الأشخاص المتأثرين. خلقت نفس ثغرة اليوم الصفر مشاكل مساءلة مختلفة اعتمادًا على موقع المؤسسة في السلسلة.
غيّر الاستغلال قبل الإفصاح معنى "حدّث الآن"
بدأت الاستجابة العامة في 31 مايو 2023، عندما كشفت Progress عن ثغرة MOVEit Transfer الحرجة ونشرت إجراءات الحماية والإصدارات المُصلحة. تُظهر سجلات الاستجابة للحوادث أن الاستغلال كان قد حدث بالفعل. أبلغت Mandiant عن أول دليل ملاحظ في 27 مايو. وأكدت Rapid7 المؤشرات والتسريب الذي يعود إلى 27 مايو و28 مايو. ويذكر إيداع Progress أن فريق الدعم تلقى اتصالًا أوليًا من عميل مساء 28 مايو بالتوقيت الشرقي، وحشد التحقيق، وحدد ثغرة يوم الصفر في 30 مايو.
هذا التسلسل الزمني مهم لأنه يغير معنى التحديث الطارئ. عادةً ما يعني "حدّث الآن" أن النظام المُصاب قد يبقى قابلًا للإنقاذ إذا تحرك المُشغّل بسرعة. في حملة استغلال ثغرة يوم الصفر قبل الإفصاح، يعني "حدّث الآن" شيئين في آن واحد: منع المزيد من الاستغلال، وافتراض أن الاختراق قد يكون قد حدث بالفعل. المهمة الأولى هي إدارة التغيير. الثانية هي التحقيق. ومعاملتهما كمهمة واحدة يُولّد خطرًا.
قد يحتوي الخادم المُحدّث على غلاف ويب. وقد يكون الخادم المُحدّث قد فقد ملفات بالفعل. وقد يحتوي الخادم المُحدّث على سجلات على وشك الدوران. وقد يُعاد الخادم المُحدّث إلى الخدمة قبل أن يفهم المحققون ما حدث. تقرير نوفا سكوشا العام هو حالة قيّمة لأنه يُظهر هذا التوتر عمليًا. حددت المقاطعة الإعلان، وأوقفت تشغيل النظام، وحدّثته، وأعادته إلى الخدمة. بعد توجيه وطني إضافي حول عناوين IP مشبوهة، أوقفته مرة أخرى ووجدت نشاطًا مشبوهًا. وأكدت لاحقًا أن ملفات سُرقت قبل التحديث.
هذا التسلسل لا يعني أن نوفا سكوشا كانت مهملة. بل يعني أن بيئة الاستشارات العامة كانت تتغير بينما كان المُشغّلون يتحركون. كان على المستجيبين الأوائل موازنة استعادة الخدمة وحفظ الأدلة بمعلومات غير كاملة. الدرس العام هو أن توجيهات الطوارئ لطبقات التحكم في نقل الملفات يجب أن تخبر المُشغّلين بأن يحفظوا قبل أن يصلحوا حيثما أمكن، وأن يعاملوا التحديث كفرع واحد فقط من شجرة الحادثة.
هذا التمييز مهم أيضًا للحكم اللاحق. منظمة استُغلت في 27 مايو لم تكن قادرة على تطبيق تحديث 31 مايو في 27 مايو. كانت ضوابطها ذات الصلة هي التعرض للإنترنت، والتقسيم، والمراقبة، والتسجيل، وتقليل البيانات. منظمة ما زالت معرضة بعد 31 مايو واجهت سؤالًا مختلفًا: لماذا لم تتم الحماية بعد التحذير العام؟ كلا المجموعتين قد تُصدران إشعارات اختراق. لكن وقائع مساءلتهما ليست متشابهة.
كان للاستجابة السحابية والمحلية ساعات مختلفة
شغّلت Progress MOVEit Cloud وباعت MOVEit Transfer لتشغيل العملاء. كان الفرق مهمًا على الفور. بالنسبة لـ MOVEit Cloud، يمكن لـ Progress منع الوصول، والتحديث، والتحقيق، والاختبار، والاستعادة. أما بالنسبة للنشر المحلي، فيمكن لـ Progress الإفصاح، والإخطار، ونشر الإصلاحات، والدعم، لكنها لا تستطيع تحديث كل خادم مباشرة أو جمع كل سجل محلي. أشار إيداعها صراحةً إلى غياب القياس عن بُعد المستمر لإصدارات العملاء، والنشاط، والبيانات المُخزنة، وحالة التحديث.
هذا القيد ليس عذرًا؛ بل هو حدود تحكم. غالبًا ما يكون لدى بائعي البرمجيات الذين يبيعون منتجات تواجه الإنترنت بنشر محلي رؤية حية محدودة. يُقدّر العملاء هذا النموذج لاستقلاليته والتحكم في البيانات. تظهر المقايضة خلال ثغرة يوم الصفر. قد لا يعرف البائع من هو المعرض، أو أي الإصدارات لا تزال متصلة، أو ما إذا كان عميل سابق لا يزال يُشغّل نسخة. قد لا يتلقى العميل الإعلان إذا كانت سجلات الملكية قديمة. وقد يُشغّل مزود خدمة الخادم بينما يظل مالك البيانات مسؤولاً قانونيًا عن الإشعار.
يواجه عملاء السحابة خطرًا مختلفًا. قد يكون لديهم عبء تحديث أقل لأن المزود يتحكم في البيئة. كما أنهم يعتمدون بشكل أكبر على أدلة المزود وقرارات الاستعادة. قالت Progress إنه تم إيقاف الوصول إلى MOVEit Cloud وتحديثه واختباره واستعادته. هذا هو إجراء المزود الصحيح، لكن العملاء ما زالوا بحاجة إلى مراجعة السجلات وفحص التنزيلات غير العادية وتحديد ما إذا كانت ملفاتهم قد تم الوصول إليها. يمكن للمزود إغلاق طبقة التحكم المشتركة؛ لكن العميل لا يزال يملك العواقب الخاصة بالبيانات.
أنتج النموذج الهجين ساعات غير متساوية. يمكن أن تحدث بعض إجراءات السحابة مركزيًا. وبعض الإجراءات المحلية اعتمدت على المسؤولين المحليين، ومزودي الخدمات المُدارة، ونوافذ التغيير. وبعض إشعارات مالكي البيانات اعتمدت على موردين يحتاجون إلى ربط الملفات بالعملاء. وهكذا امتدت موجة الإفصاح العام لأشهر، ليس لأن تحديثًا واحدًا استغرق شهورًا لتثبيته في كل مكان، ولكن لأن أدلة طبقة التحكم كانت موزعة.
هذا درس تصميمي. يجب على بائعي البنية التحتية للنقل الحفاظ على دقة اتصالات العملاء، وقنوات اختيارية للقياس عن بُعد، ومسارات إخطار طارئ للثغرات، وأدلة إصدار قابلة للقراءة آليًا. ويجب على العملاء الحفاظ على قوائم جرد الأصول المواجهة للإنترنت، وسجلات الملكية، ومسارات التصعيد. ويجب على مزودي الخدمة الحفاظ على ربط العميل بالملف وساعات الإشعار التعاقدية. بدون هذه السجلات، يصبح الإعلان بثًا في الضباب.
حوّل تسلسل تحديثات يونيو اليقين إلى هدف متحرك
لم ينهِ إصلاح 31 مايو العمل الأمني. وجدت Progress والباحثون ثغرات حقن SQL إضافية في الأسابيع التالية. أصدرت Progress تحديث 9 يونيو لـ CVE-2023-35036، ثم تحديث 15 يونيو لـ CVE-2023-35708. يصف جدول Rapid7 الزمني وأسئلة Progress الشائعة التسلسل. عالجت إصدارات يوليو اللاحقة المزيد من الثغرات. ربطت الأدلة العامة حملة الاستغلال الجماعي بـ CVE-2023-34362، وليس بكل اكتشاف لاحق. ومع ذلك، غيّر تسلسل التحديثات العبء على المشغلين.
بالنسبة للمشغل، أصبحت عبارة "لقد حدّثنا MOVEit" ادعاءً مُؤرخًا. التحديث في 1 يونيو لا يعني التحديث في 10 يونيو. التحديث في 10 يونيو لا يعني الاكتمال بعد 15 يونيو. استبيان امتثال يسأل فقط ما إذا كان قد تم تحديث النسخة يمكن أن يُنتج طمأنينة زائفة. الدليل الصحيح هو الإصدار، والتاريخ، والوقت، وحالة الوصول للويب، وفرع الإصلاح الساخن، وما إذا كانت كل عقدة في النشر قد حُدثت.
هنا تبرز أهمية دورة حياة البرمجيات والارتباط بها. غالبًا ما يكون منتج نقل الملفات مدمجًا في وظائف مجدولة، وسير عمل الشركاء، وأنظمة المصادقة، وقواعد جدار الحماية، والعمليات التجارية. إيقافه يقطع العمل الحقيقي. تحديثه بشكل متكرر قد يتطلب اختبارًا وتنسيقًا. منظمة مرتبطة بسير العمل لا يمكنها ببساطة التخلي عن المنتج أثناء الأزمة. يجب أن تستمر في تشغيل طبقة التحكم بينما تكون طبقة التحكم نفسها تحت المجهر.
يمكن أن تساعد خطوة Progress اللاحقة نحو حزم الخدمة والصيانة الأكثر قابلية للتنبؤ في الوضع الأمني الروتيني. الاستغلال الطارئ مختلف. أثناء حملة حية، الوضوح أهم من وتيرة التحديث. يجب أن يذكر كل إعلان الإصدارات المتأثرة، وما الذي تغير منذ الإعلان السابق، وما إذا كان الاستغلال قد لوحظ، وما إذا كان يجب أن يبقى الوصول للويب محظورًا، وما إذا كان التحديث يلغي كل الإجراءات الوقائية السابقة. يحتاج المشغلون إلى شجرة قرار، وليس فقط ملاحظات إصدار.
غيّر تسلسل يونيو أيضًا لغة الإفصاح. إذا لم يكن لدى العميل دليل على استغلال مايو لكنه بقي معرضًا لثغرة لاحقة قبل التحديث، يتغير نطاق التحقيق. إذا لم تُلاحظ ثغرات لاحقة في الاستغلال، يجب أن يُقال ذلك بوضوح لتجنب تضخيم أعداد الحوادث. يتطلب توقيت الإعلان الجيد دقة حول الاستغلال الملاحظ، والقدرة المحتملة، وضرورة التحديث. دمجها في إنذار واحد يُولّد إرهاقًا ويمكن أن يُقلل من جودة الاستجابة.
ساعدت أدلة مصادر الشبكة لكنها لم تستطع إثبات الاختراق
كانت أدلة مسح الإنترنت مهمة في حملة MOVEit. حددت Censys آلاف مضيفي MOVEit المعرضين للإنترنت حول فترة الإفصاح وتتبعت التغيرات في التعرض. ساعدت هذه البيانات في إظهار عدد الأجهزة القابلة للوصول وسرعة توقف بعض الخدمات عن الاتصال. كما يمكن أن تساعد المؤسسات في اكتشاف الأصول المنسية أو علاقات الاستضافة مع أطراف ثالثة. أدلة مصادر الشبكة قيّمة لأن المهاجمين يجدون الخدمات المعرضة أسرع مما تفعل العديد من قوائم جرد الأصول.
لكن التعرض ليس اختراقًا. قد يكون المضيف المرئي على الإنترنت محميًا بضابط تعويضي، أو مُحدّثًا بالفعل، أو غير معرض بسبب الإصدار، أو لا يُستخدم لتخزين ملفات حساسة. وعلى العكس، قد يكون المضيف الذي لم يلتقطه مسح معين مُخترقًا. يرى الماسح سمات يمكن ملاحظتها خارجيًا؛ ولا يقرأ السجلات المحلية أو سجلات الملفات. حذر تحليل Censys الصناعي اللاحق من اعتبار ملاحظات التعرض كأعداد للضحايا.
ينطبق نفس الحذر على مؤشرات IP وأسماء ملفات أغلفة الويب. نشرت CISA و Mandiant و Rapid7 و Huntress ومستجيبون آخرون مؤشرات مفيدة. كانت هذه المؤشرات أدلة للتحقيق المحلي، وليس دليلاً عالميًا. يمكن للمهاجمين تغيير البنية التحتية. يمكن أن تدور السجلات. غياب اسم ملف معروف لا يثبت السلامة. عنوان مصدر معروف في السجل لا يثبت دائمًا سرقة ناجحة. يظل الدليل المحلي حاسمًا.
الدرس في طبقة التحكم هو أن الأدلة يجب أن تكون متعددة الطبقات. تحدد الفحوصات الخارجية الخدمات القابلة للوصول. تحدد إعلانات البائع الإصدارات المتأثرة والإصلاحات. تحدد تقارير التهديد السلوكيات المرصودة. تُظهر السجلات المحلية الطلبات، والحسابات، والتنزيلات، والملفات، والطوابع الزمنية. تُظهر سجلات الاحتفاظ بالملفات ما كان موجودًا. تُظهر خرائط بيانات العميل من كان يملك السجلات. تحتاج قرارات الإفصاح إلى كل هذه الطبقات. الضعف في أي طبقة يُبطئ الإشعار أو يُنتج إشعارًا أوسع من اللازم.
كشف MOVEit كم من المؤسسات اضطرت لبناء كومة الأدلة هذه تحت الضغط. بعضها فعل ذلك علنًا وبشكل جيد. والبعض الآخر أفصح بعد شهور عبر الموردين. لم يكن الفرق دائمًا في الجودة الأخلاقية. بل كان يعكس غالبًا ما إذا كانت لدى المؤسسة سجلات دائمة، وملكية واضحة للملفات، واحتفاظ قصير، وخريطة موردين جاهزة للحوادث قبل وصول الإعلان.
كان الإفصاح الجماعي فشلًا في ربط البيانات بقدر ما كان نتيجة للسرقة
أصبحت الحملة مرئية عالميًا من خلال إشعارات الإفصاح. يمكن لمنصة نقل ملفات واحدة مُخترقة أن تحتوي على ملفات من العديد من العملاء، وكل ملف يمكن أن يحتوي على سجلات للعديد من الأشخاص. بعد السرقة، لم يعد السؤال فقط "هل تم تحديث MOVEit؟" بل "أي صفوف في أي ملفات تمثل أي أشخاص تحت أي واجبات قانونية؟" هذا هو ربط البيانات.
اضطرت نوفا سكوشا لإخطار مجموعات تشمل موظفي الخدمة المدنية، والعاملين الصحيين، ومتلقي المعاشات، والطلاب، وعملاء الخدمات المجتمعية. أبلغت وزارة التعليم في مدينة نيويورك أن حوالي 19,000 ملف قد نُسخت وأنها تضمنت تقييمات طلابية، وتقارير تقدم الخدمة، ومواد Medicaid، وسجلات إجازات الموظفين. أفصحت CalPERS عن تعرض عبر PBI Research Services، وهو مورد يُستخدم لتحديد وفيات الأعضاء ومنع المدفوعات الزائدة. تُظهر هذه الأمثلة ثلاثة أنماط: تأثير المشغل المباشر، وملكية بيانات القطاع العام، والتعرض بوساطة الموردين.
غالبًا ما يُعامل ربط البيانات كإدارة خصوصية. في حادثة نقل الملفات هو ضابط استرداد. إذا تم الاحتفاظ بالملفات أطول من اللازم، يزداد التعرض. إذا لم تحدد أسماء الملفات ملكية العميل، يتباطأ تحديد النطاق. إذا لم يستطع مزود الخدمة ربط ملف بمالك البيانات بسرعة، يتباطأ الإشعار. إذا لم يعلم مالك البيانات أن موردًا يستخدم MOVEit، قد يعلم بالحادثة فقط بعد أن يبدأ المورد تحقيقه الخاص.
لذا يجب أن تحمل طبقة التحكم في نقل الملفات بيانات وصفية تدعم تحديد النطاق الطارئ: مالك البيانات، وفئة الاحتفاظ، وغرض النقل، ووقت الحذف المتوقع، وفئة الحساسية، واتصال العميل. ليس كل البيانات الوصفية يمكن أن تكون عامة أو بسيطة. بعض عمليات النقل معقدة. لكن غياب البيانات الوصفية يحول الاختراق إلى عمل أثري. ينتظر الضحايا بينما تعيد المؤسسات اكتشاف ما كان يُستخدم النظام من أجله.
الاحتفاظ القصير قوي بشكل خاص. إذا كانت منصة النقل آلية تبادل مؤقتة، يجب ألا تتراكم الملفات بما يتجاوز الحاجة التشغيلية. كل يوم إضافي من الاحتفاظ يزيد البيانات المتاحة لمهاجم ثغرة اليوم الصفر. تقول العديد من المؤسسات إنها تحتفظ بالبيانات "تحسبًا" لاحتياج شخص ما لإعادة تنزيلها. أظهرت حملة MOVEit الجانب الآخر من الراحة: الملفات المحتفظ بها تصبح قائمة جرد للاختراق.
يجب أن تحمي لغة الإعلان الأدلة، وليس فقط الأنظمة
العديد من إعلانات الثغرات مُحسَّنة للتحديث. هذا مفهوم. إغلاق الثغرة النشطة أمر عاجل. بالنسبة لطبقات التحكم في النقل، يجب أن تحمي الإعلانات الأدلة أيضًا. يجب أن تخبر الرسالة الأولى المشغلين بتقييد الوصول، وحفظ السجلات ذات الصلة، وأخذ لقطات للأنظمة حيثما أمكن، وفحص المؤشرات المعروفة، وتحديد الملفات الموجودة خلال نافذة التعرض، والتنسيق مع مالكي البيانات قبل حذف أو الكتابة فوق الأدلة المفيدة.
هذا لا يعني تأخير الحماية أثناء بناء قضية جنائية مثالية. بل يعني جعل حفظ الأدلة جزءًا من الحماية. إعادة البناء المتسرعة يمكن أن تمسح السجلات. سكريبت التنظيف يمكن أن يزيل الآثار قبل تسجيلها. الخدمة المستعادة يمكن أن تستأنف دوران السجلات الطبيعي. تطهير الملفات يمكن أن يكسر السلسلة اللازمة لإخطار الناس بدقة. أفضل دليل طوارئ يرتب الخطوات بحيث يُقلل الخطر الحالي ويبقى الخطر الماضي قابلًا للمعرفة.
تطورت إرشادات Progress بسرعة وتضمنت مراجعة السجلات، وحظر الوصول للويب، والتحديث، وفحص المؤشرات. وأضاف المستجيبون الحكوميون والصناعيون مؤشراتهم وتوصياتهم. النقطة ليست أن الإرشاد العام افتقر لكل محتوى جنائي. النقطة هي أن منصات النقل يجب أن يكون لديها دليل اللعب هذا جاهزًا قبل ثغرة اليوم الصفر، مع مواقع سجلات محددة للمنتج، وتحذيرات افتراضية للاحتفاظ، وقوائم آثار، وقوالب اتصال مع العملاء.
يحتاج العملاء إلى نفس التحضير. يجب أن يعرفوا أي أنظمة النقل تواجه الإنترنت، وأي وحدات العمل تملكها، وأي موردين يشغلونها، وأين توجد السجلات، وكم من الوقت تُحتفظ بالملفات، ومن يمكنه إيقاف تشغيلها. يجب أن يأذنوا مسبقًا بوقت تعطل طارئ لمنتجات النقل عالية الخطورة. نظام نقل ملفات لا يمكن إيقافه أثناء استغلال نشط ليس نظام تبادل مُراقب. إنه عملية تجارية بدون وضع فشل آمن.
استمر واجب الإفصاح للبائع بعد التحديث
واجهت Progress حدثًا صعبًا. كان عليها التحقيق في ثغرة يوم الصفر، وتحديث السحابة والمنتجات المحلية، والتواصل مع العملاء، والتنسيق مع خبراء خارجيين، والاستجابة لثغرات إضافية وُجدت أثناء مراجعة الكود، والتعامل مع الاستفسارات القانونية والتنظيمية، وإدارة الإفصاح للمستثمرين. يُظهر السجل العام نشاط استجابة كبيرًا. كما يُظهر لماذا لا ينتهي واجب الإفصاح للبائع عندما يُنشر الإصلاح.
احتاج العملاء إلى وضوح حول حالة الاستغلال، والإصدارات المتأثرة، والتحديثات الملغاة، وإجراءات السحابة، ومسؤوليات النشر المحلي، ومراجعة السجلات، وما إذا كانت الثغرات الإضافية قد استُغلت. واحتاج المستثمرون والمنظمون إلى معلومات المخاطر. واحتاج مالكو البيانات إلى معرفة ما إذا كان مشغل المنصة يمكنه تحديد الملفات المسروقة. أما إعلان انتهاء تحقيق SEC لاحقًا، الذي أعلنته Progress، فأضاف سجلاً عامًا آخر لكنه لم يزل الدروس التشغيلية.
يجب أن يعترف معيار المساءلة بما لم يستطع البائع التحكم به. لم تستطع Progress تحديث كل خادم يُشغله العميل مباشرة. ولم تستطع معرفة كل ملف خزنه كل عميل. ولم تستطع جعل كل مورد يخطر كل عميل فورًا. لكن Progress تحكمت في التطوير الآمن، والاستجابة للثغرات، ووضوح الإعلانات، وإصلاح السحابة، والتواصل مع العملاء، والإرشاد الجنائي الخاص بالمنتج. تلك هي المناطق التي تتركز فيها المساءلة.
بالنسبة للمشغلين، تركزت المساءلة في مكان آخر. تحكموا في التعرض، وإدارة الإصدارات، والتغيير الطارئ، والاحتفاظ بالسجلات، والاحتفاظ بالملفات، والتواصل مع الموردين. بالنسبة لمالكي البيانات، شملت المساءلة معرفة أين تتحرك البيانات الحساسة وما إذا كان المورد يستخدم منصة نقل معرضة. حملة MOVEit ليست مفيدة إذا أصبحت بحثًا عن طرف واحد لإلقاء اللوم عليه في كل إشعار. إنها مفيدة إذا أظهرت بالضبط أي ضابط فشل وأين.
كان الاحتفاظ هو ضابط نصف قطر الانفجار الهادئ
غالبًا ما تحتفظ أنظمة نقل الملفات بالملفات للراحة. قد يحتاج شريك إلى إعادة تنزيل دفعة. قد ترغب وحدة عمل في مخزن مؤقت قصير في حال فشلت مهمة. قد يفضل مكتب المساعدة ألا يطلب من المرسل إعادة الرفع. هذه الأسباب مفهومة. لكنها أيضًا تُنشئ قائمة جرد للاختراق. خلال حملة MOVEit، اعتمد الضرر في أي بيئة محددة ليس فقط على ما إذا كان الاستغلال قد نجح، ولكن على الملفات التي كانت متاحة عندما نجح.
الاحتفاظ هو إذن ضابط نصف قطر الانفجار. منصة النقل التي تحذف الملفات بسرعة بعد الاستلام الناجح تقدم للمهاجم أقل مما تقدمه منصة تُراكم أيامًا أو أسابيع من التبادلات الحساسة. الاحتفاظ القصير لا يمنع الاستغلال. إنه يقلل من قيمة الاستغلال الناجح ويُبسّط تحديد النطاق لاحقًا. إذا كانت نافذة ضيقة فقط من الملفات يمكن أن تكون موجودة، يكون لدى المحققين سجلات أقل لربطها وأشخاص أقل لإخطارهم.
يؤثر الاحتفاظ أيضًا على الأدلة. حذف الملفات المنقولة بسرعة كبيرة دون الاحتفاظ بالبيانات الوصفية يمكن أن يجعل الإشعار أصعب، لأن المؤسسة قد تعرف أن ملفًا كان موجودًا ولكن ليس ما احتواه أو من كان يملكه. الاحتفاظ بالملفات إلى أجل غير مسمى يُنشئ تعرضًا. النمط الأفضل هو احتفاظ قصير بالمحتوى مقترن ببيانات وصفية دائمة: المرسل، والمستلم، والمالك التجاري، ووقت النقل، وفئة الحساسية، ووقت الحذف، وما يكفي من هوية الملف لربط النقل دون حفظ محتوى غير ضروري. هذا يعطي المحققين دفتر حسابات دون تحويل نظام النقل إلى أرشيف.
تكتشف العديد من المؤسسات أثناء حادثة أن منصة النقل الخاصة بها أصبحت مستودع ظل. تودع الوظائف المجدولة ملفات. يجمعها المستخدمون لاحقًا. تترك الوظائف الفاشلة نسخًا مكررة. تبقى المجلدات القديمة لأنه لا أحد يملك تنظيفها. وعندها تعرض الثغرة ليس فقط التبادلات الحالية، ولكن تاريخًا من الراحة التشغيلية. تُظهر إفصاحات MOVEit لماذا يجب أن تُحكم منصات النقل كمخازن بيانات عالية الخطورة حتى عندما يكون غرضها المقصود هو الحركة العابرة.
هنا أيضًا يحمل مزودو الخدمة واجبًا خاصًا. المزود الذي يستخدم نظام نقل واحد لعدة عملاء يجب ألا يعتمد على الذاكرة البشرية لتحديد ملكية الملفات بعد الاختراق. يجب أن تكون ملكية العميل، وفئة البيانات، وقواعد الاحتفاظ مُشفّرة في سير العمل. وإلا فإن استغلالًا واحدًا يصبح تمرين إعادة بناء يدوي لكل عميل على حدة. هذا الإعادة بناء يؤخر الإشعارات في المراحل التالية ويزيد من خطر كل من نقص الإشعار والإفراط فيه.
درس الاحتفاظ عملي. قبل أن تُخترق منصة النقل، يجب أن تسأل المؤسسات: أي الملفات مُخزنة، وكم من الوقت، وتحت سلطة من، وبأي بيانات وصفية؟ بعد الاختراق، تقرر هذه الإجابات ما إذا كانت المؤسسة تستطيع تحديد النطاق بسرعة أو يجب أن تحقق من المبادئ الأولى. يمكن أن يكون الفرق شهورًا من عدم اليقين.
حوّلت سلاسل الموردين إعلانًا واحدًا إلى عدة ساعات إشعار
كشفت حملة MOVEit أيضًا عن عدم التطابق بين ساعة إعلان البائع وساعة إشعار مالك البيانات. يمكن لـ Progress أن تنشر إعلانًا وتحديثًا في 31 مايو. ويمكن لمشغل محلي أن يمنع الوصول ويحدث خادمًا في 1 يونيو. ويمكن لمزود خدمة أن يبدأ تحقيقه الخاص بعد اكتشاف تنزيلات مشبوهة. وقد لا يعلم مالك البيانات أن سجلاته متورطة إلا لاحقًا. وقد يتلقى الشخص الذي كانت معلوماته في ملف إشعارًا بعد شهور من الاستغلال. كل خطوة كانت ساعة مختلفة.
هذا ليس مجرد بطء. إنه سمة هيكلية لتدفقات بيانات الموردين. قد يرسل نظام تقاعد سجلات إلى مزود تحقق من الوفيات. قد يستخدم المزود MOVEit. قد يكون الخادم المعرض مُشغلاً من قبل المزود أو طرف آخر. وقد يضطر نظام التقاعد بعد ذلك لإخطار الأعضاء. الشخص المتأثر قد لا يكون قد سمع أبدًا بمنتج النقل. تنتقل المساءلة عبر العقود وخرائط البيانات التي غالبًا ما تكون أقل وضوحًا من التكنولوجيا.
يمكن لقانون الإشعار أن يزيد من تعقيد هذا. تختلف السلطات القضائية والقطاعات في حساب مواعيد الإشعار النهائية بشكل مختلف. بعض الساعات تبدأ عندما تحدد المؤسسة أن المعلومات الشخصية قد تم الحصول عليها. والبعض الآخر يعتمد على تأخير إنفاذ القانون، أو تعليمات مالك البيانات، أو اتفاقيات العملاء. المورد الذي لا يستطيع ربط الملفات المسروقة بالعملاء بسرعة يؤخر كل تحليل قانوني في المراحل التالية. مالك البيانات الذي لا يعرف كومة المعالجين الفرعيين لمورده قد لا يعرف أين يسأل أولاً.
الإجابة التحكمية هي أدلة مسار الموردين. يجب أن يعرف مالكو البيانات أي البائعين والمعالجين الفرعيين يتعاملون مع عمليات النقل الحساسة، وأي المنتجات يستخدمونها، وأين تُخزن البيانات، وكم من الوقت تبقى الملفات متاحة، وما هي شروط الإشعار بالحادثة المطبقة. يجب أن يكون مزودو الخدمة قادرين على إنتاج قوائم ملفات متأثرة خاصة بالعميل بسرعة. يجب أن يكتب البائعون إعلانات بخصوصية كافية تمكن الموردين من تحديد ما إذا كانت بيانات عملائهم قد تكون في النطاق. الهدف ليس الإشعار الفوري المثالي. إنه منع سلسلة إعادة اكتشاف يمكن تجنبها.
تُظهر CalPERS ونوفا سكوشا وسجلات التعليم في مدينة نيويورك نقاطًا مختلفة في هذه السلسلة. تضمنت واحدة مسار مورد، وتضمنت واحدة خدمات تشغلها الحكومة، وتضمنت واحدة مالك بيانات تعليمي عام. السمة المشتركة كانت الانتقال من ثغرة المنتج إلى تحديد الملفات إلى الإشعار المواجه للأشخاص. لا يمكن لتحديث منتج أن يقوم بهذا العمل. فقط سجلات ملكية البيانات الموجودة مسبقًا هي التي تستطيع.
الإصدارات غير المدعومة أو غير المُدارة تُنشئ نقاطًا عمياء في الإعلانات
أشار إيداع Progress إلى قياس عن بُعد محدود لنشر MOVEit Transfer الذي يُشغله العملاء. هذا واقع شائع للبرمجيات المحلية. يصبح خطيرًا عندما تواجه البرمجيات الإنترنت وتكون حرجة. قد يخطر البائع العملاء المعروفين، لكن قوائم جرد البرمجيات تتقادم. تنتقل وحدات العمل. يدير المقاولون الخوادم. تنتهي التراخيص بينما تبقى الأنظمة متصلة. يحتفظ العملاء السابقون بنسخ قديمة لوظائف قديمة. يمكن أن يفوت الإعلان النظام الذي لا يزال المهاجم يراه.
يساعد مسح الإنترنت في كشف هذه النقطة العمياء. يمكن لـ Censys ومصادر التعرض الأخرى أن تُظهر أن خدمة تشبه MOVEit قابلة للوصول، لكنها لا تستطيع دائمًا تحديد المشغل المسؤول أو إثبات الإصدار. قد يجد المسح مضيفًا لا تصله قاعدة بيانات عملاء البائع بالشخص المناسب. هذا يخلق فجوة استجابة: المهاجم يرى هدفًا، وقد لا يعرف البائع من يملكه، وقد لا تعرف المؤسسة أن الأصل موجود.
درس المساءلة هو أن جرد الأصول ليس كتابيًا. إنه الرابط بين الإعلانات العامة والإصلاح الفعلي. يجب أن يكون لدى المؤسسة التي تشغل برمجيات نقل تواجه الإنترنت مالك، وسجل إصدار، وجهة اتصال طارئة، ومسار توقف معتمد، وقرار صريح حول ما إذا كانت الخدمة يمكن الوصول إليها من الإنترنت. يجب على البائع دعم اكتشاف الإصدار القابل للقراءة آليًا وقنوات إخطار العملاء التي تنجو من دوران الموظفين. يجب على مزودي الخدمات المُدارة الحفاظ على خرائط اتصال طارئ خاصة بهم تواجه العملاء.
كما تُعقد الإصدارات غير المدعومة أو غير المُدارة الإفصاح. إذا كان خادم قديم يحتفظ بملفات حساسة ولا يتعرف عليه أحد حتى بعد حملة، قد تفتقر المؤسسة إلى السجلات، أو سجلات الاحتفاظ، أو الدعم الحالي. النتيجة ليست فقط تأخر التحديث؛ بل أدلة ضعيفة حول من تضرر. يمكن أن يُنتج ضعف الأدلة هذا إشعارًا واسعًا لأن المؤسسة لا تستطيع تضييق النطاق، أو إشعارًا غير كافٍ لأنها لا تجد البيانات المتأثرة أبدًا.
لذا يجب أن تجعل حملة MOVEit جرد نقل الملفات المواجه للإنترنت بند حوكمة متكرر. يجب أن تطلب مجالس الإدارة وفرق التدقيق قائمة بأنظمة النقل، وحالة التعرض، والمالك، وقاعدة الاحتفاظ، والإصدار المدعوم، وجهة اتصال الحوادث. إذا لم تكن هذه القائمة قابلة للإنتاج قبل الأزمة، فلن تظهر سحرًا بعد إعلان ثغرة يوم الصفر.
تأكيد التحديث احتاج إلى أثر أدلة مُؤرَّخ
تُنشئ الإصلاحات الطارئة المتكررة مشكلة توثيق. يحتاج المشغلون إلى إثبات ليس فقط أنهم حدّثوا، ولكن أي تحديث طبقوه، ومتى تم حظر الوصول للويب، ومتى استُعيدت الخدمة، وما إذا كانت الإعلانات الإضافية قد ألغت الإصلاح السابق، وما إذا كانت جميع العقد في النشر قد حُدثت. في حادثة نقل ملفات عالية المخاطر، هذا الأثر من الأدلة مهم لكل من الأمان والإشعار القانوني.
يوضح تسلسل MOVEit العام المسألة. عالج 31 مايو الثغرة الأولية المُستغلة. عالج 9 يونيو و15 يونيو ثغرات حقن SQL إضافية وُجدت أثناء المراجعة. جلب يوليو إصلاحات إضافية. بعضها لم يُربط علنًا بالاستغلال في الحملة الأصلية، لكنها ما زالت تتطلب إجراءً. المشغل الذي حدّث مرة واحدة وتوقف يمكن أن يقول بصدق إنه تصرف بسرعة بينما يصبح قديمًا بعد أيام.
يجب أن يتضمن أثر الأدلة المُؤرَّخ معرف الإعلان، وقائمة CVEs، وإصدار البرمجية قبل التحديث، وإصدار البرمجية بعد التحديث، وهوية الحزمة أو التجزئة حيثما أمكن، وبداية ونهاية تقييد الوصول للويب، وهوية المسؤول، والعقد المتأثرة، ونتيجة التحقق. بالنسبة للخدمات السحابية، يجب أن يقدم المزود أدلة مماثلة تواجه العملاء بأن البيئة قد حُدثت. بالنسبة للأنظمة المحلية، يجب على المشغل حفظ أثره الخاص. بالنسبة لمزودي الخدمة، يجب أن تذكر تقارير العميل أي بيئة استضافت بيانات العميل وما حالة التحديث التي طبقت على تلك البيئة.
هذا ليس إفراطًا بيروقراطيًا. عندما يسأل عميل ما إذا كانت بياناته قد تعرضت قبل أو بعد التحديث، تعتمد الإجابة على التواريخ والإصدارات. عندما يسأل مؤمن أو منظم أو مالك بيانات ما إذا كانت الحماية في الوقت المناسب، تعتمد الإجابة على أثر الأدلة. عندما يُكشف عن ثغرة لاحقة، يحتاج المستجيبون إلى معرفة ما إذا كانت الصيانة السابقة قد تضمنت الإصلاح بالفعل. بدون أدلة مُؤرَّخة، تصبح الاستجابة للحوادث مسابقة ذاكرة.
الدرس الأوسع لدورة حياة البرمجيات هو أن التحديث الطارئ يجب أن يكون قابلاً للتدقيق حسب التصميم. يجب أن تجعل المنتجات الإصدار الحالي وحالة الإصلاح الساخن سهلة التصدير. يجب أن تربط الإعلانات الإصدارات بـ CVEs بوضوح. يجب أن يعامل المشغلون إثبات التحديث كجزء من الاستجابة للحوادث، وليس كعمل روتيني بعد الحدث. في طبقة التحكم في نقل الملفات، تأكيد التحديث هو تأكيد الإفصاح.
يجب أن يكون تأكيد التحديث قابلاً للقراءة من قبل العميل أيضًا. لا ينبغي لمالك البيانات أن يضطر للاستدلال من بيان عام لمورد أن سجلاته كانت وراء نسخة محدثة أو غير محدثة. التقرير المفيد يقول أي بيئة احتوت على البيانات، وما نافذة التعرض قيد التحقيق، وما إذا كان دليل السرقة موجودًا، وأي إصدارات إعلان طُبقت، وأي سجلات رُوجعت. هذه المعلومات تتيح لمالك البيانات أن يقرر ما إذا كان يُخطر لأن الاستحواذ مؤكد، أو لأن الاستحواذ لا يمكن استبعاده، أو لأن العقد يتطلب إشعارًا بعد اختراق المنصة. هذه مواقف مساءلة مختلفة.
ملاحظة حول الطباعة وقابلية القراءة
الطباعة هي فن وتقنية ترتيب الحروف لجعل اللغة المكتوبة مقروءة وقابلة للقراءة وجذابة بصريًا. تتضمن اختيار أنماط الخطوط، وأحجام النقاط، وأطوال الأسطر، وتباعد الأسطر، وتباعد الحروف.
- نشأت الطباعة مع اختراع الحروف المتحركة على يد يوهانس غوتنبرغ في القرن الخامس عشر.
- تشمل العناصر الرئيسية اختيار الخط، والتآلف بين الحروف، والتباعد، والتباعد بين الأسطر.
- الطباعة الجيدة تعزز قابلية القراءة وتنقل المزاج أو النغمة في التصميم.
اختبار المساءلة
حوّل MOVEit توقيت التحديث إلى إفصاح جماعي لأن طبقة التحكم المعرضة كانت تقبع بين العديد من المؤسسات وملفاتها الحساسة. كان تحديث 31 مايو ضروريًا. لم يكن كافيًا للإجابة على من تم الوصول إليه بالفعل، وأي الملفات نُسخت، وأي العملاء كانوا يملكون تلك الملفات، أو أي الأشخاص واجهوا خطرًا متبقيًا. ذلك العمل اعتمد على السجلات، والاحتفاظ، وجرد الأصول، وخرائط الموردين، وحوكمة الإشعار.
المعيار الأفضل هو مرونة طبقة التحكم. يجب على بائعي نقل الملفات تصميم المنتجات والإعلانات لاستجابة الاستغلال، وليس فقط للتحديث الروتيني. يجب على المشغلين إبقاء أنظمة النقل مرئية، وبأقل تعرض، وقصيرة الاحتفاظ، وجاهزة للأدلة. يجب أن يعرف مالكو البيانات أي الموردين ينقلون سجلاتهم وما هي واجبات الإشعار التي تبدأ عندما تُخترق منصة نقل المورد. يجب على المنظمين الحكم على سرعة الاستجابة في طبقات: سرعة التحديث، وحفظ الأدلة، وربط مالكي البيانات، والإشعار الفردي.
الدرس الدائم للحملة هو أن نظام نقل الملفات ليس مجرد أنبوب. إنه خزنة مؤقتة، ومحرك سير عمل، ودفتر حسابات إثباتي. عندما تفشل طبقة التحكم هذه، يكون التحديث مجرد بداية المساءلة.

