كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة في منصة تطوير التطبيقات Lightning AI Studio، والتي إذا استُغلت بنجاح، يمكن أن تسمح بتنفيذ التعليمات البرمجية عن بُعد.

تفاصيل الثغرة الأمنية

تم تصنيف هذه الثغرة بدرجة خطورة 9.4 حسب نظام CVSS، مما يشير إلى قدرتها على تمكين “المهاجمين من تنفيذ أوامر عشوائية بامتيازات الجذر” عبر استغلال متغير URL مخفي، وذلك وفقًا لتقرير صادر عن شركة Noma للأمن التطبيقاتي، والذي تمت مشاركته مع The Hacker News.

وأوضح الباحثون ساسي ليفي، ألون ترون، وغال مويل أن هذا المستوى من الوصول يمكن استغلاله في مجموعة واسعة من الأنشطة الضارة، بما في ذلك استخراج المفاتيح الحساسة من الحسابات المستهدفة.

التهديدات المحتملة

تم تضمين المشكلة في شيفرة JavaScript التي يمكن أن تتيح الوصول غير المحدود إلى بيئة تطوير الضحية، وكذلك تنفيذ الأوامر العشوائية على هدف مصادق عليه في سياق مميز. وأوضحت Noma أنها وجدت متغيرًا مخفيًا يسمى “command” في URLs الخاصة بالمستخدمين، مثل: lightning.ai/PROFILE_USERNAME/vision-model/studios/STUDIO_PATH/terminal?fullScreen=true&commmand=cmVzc…، والذي يمكن استخدامه لتمرير تعليمات مشفرة بقاعدة Base64 لتنفيذها على المضيف الأساسي.

الأمر الأسوأ هو أن هذه الثغرة يمكن تسليحها لتنفيذ أوامر تتيح استخراج معلومات حرجة مثل رموز الوصول ومعلومات المستخدم إلى خادم يتحكم فيه المهاجم.

تحليل الأثر

يعني الاستغلال الناجح لهذه الثغرة أن الخصم يمكنه تنفيذ أوامر مميزة عشوائية والحصول على وصول كامل بامتيازات الجذر، وجمع البيانات الحساسة، والتلاعب بنظام الملفات لإنشاء ملفات أو حذفها أو تعديلها على الخادم.

كل ما يحتاجه المهاجم لتحقيق ذلك هو معرفة سابقة باسم مستخدم الملف الشخصي وLightning AI Studio المرتبطة به، وهي تفاصيل متاحة للجمهور عبر معرض قوالب الاستوديو.

مسلحًا بهذه المعلومات، يمكن للفاعل الضار إنشاء رابط ضار يؤدي إلى تنفيذ التعليمات البرمجية على الاستوديو المحدد تحت صلاحيات الجذر. وبعد الإفصاح المسؤول عن الثغرة في 14 أكتوبر 2024، تم حل المشكلة من قبل فريق Lightning AI اعتبارًا من 25 أكتوبر.

أهمية التأمين

قال الباحثون: “أن ثغرات مثل هذه تؤكد على أهمية تحديد وتأمين الأدوات والأنظمة المستخدمة في بناء وتدريب وتوزيع نماذج الذكاء الاصطناعي نظرًا لطبيعتها الحساسة.”

هل وجدت هذا المقال مثيرًا للاهتمام؟ تابعونا على إكس وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.