وفقًا للباحثين، فإن الهجوم الأخير واسع النطاق على سلسلة التوريد والذي تم إجراؤه عبر شبكات CDN متعددة، وهي Polyfill.io وBootCDN وBootcss وStaticfile والذي أثر على ما يتراوح بين 100000 إلى عشرات الملايين من مواقع الويب، تم إرجاعه إلى مشغل مشترك.
اكتشف الباحثون مستودع GitHub العام حيث كشف مشغلو Polyfill.io المزعومون عن طريق الخطأ عن مفاتيح Cloudflare السرية الخاصة بهم.
وباستخدام مفاتيح واجهة برمجة التطبيقات المسربة، والتي كانت لا تزال نشطة، تمكن الباحثون من تحديد أن مشغلًا مشتركًا كان وراء جميع المجالات الأربعة، والهجوم الأوسع على سلسلة التوريد.
التعرض العرضي لمفاتيح Cloudflare
اكتشف باحثو الأمن وعشاق الاستخبارات مفتوحة المصدر (OSINT) مستودع GitHub مرتبطًا بنطاق polyfill.io والذي كان متورطًا فيهجوم واسع النطاق على سلسلة التوريدالذي يعتقد الآن أنه لديهأثرت على عشرات الملايين من المواقع.
مكنت الأسرار المسربة في المستودع الباحثين من نسب هجوم سلسلة التوريد الذي شمل جميع خدمات CDN الأربع، وهي Polyfill.io، وBootCDN، وBootcss، وStaticfile، إلى كيان واحد.
وجاء هذا الاكتشاف نتيجة للجهد التعاوني بين الباحثينزي-تشنغ وو، مستخدم باسم مستعار mdmck10، ومجموعة أبحاث الأمن،فريق MalwareHunter.
اكتشف Ze-Zheng Wu، المطور ومرشح الدكتوراه ومقره في مدينة هانغتشو بالصين، مستودع GitHub بعنوان “data.polyfill.com” الذي يبدو أنه يحتوي على كود مصدر الواجهة الخلفية المرتبط بالموقع.
لاحظ الباحث أن مالك المستودع قام عن طريق الخطأ بتحميل ملف .env إلى المستودع العام:
يتم استخدام ملفات Dot env (.env) بواسطة المطورين ومسؤولي النظام لتخزين الأسرار مثل مفاتيح API والرموز المميزة ومتغيرات البيئة وإعدادات التكوين. على هذا النحو، يجب تأمين هذه الملفات بأذونات مقيدة وحمايتها بشكل مشدد من الجمهور.
يحتوي الملف المكشوف، كما شاهده BleepingComputer أيضًا، على رمز Cloudflare API، ومعرف منطقة Cloudflare (من مجال Polyfill.io)، ومفاتيح Algolia API، من بين قيم أخرى.
لاحظ BleepingComputer أيضًا أن الإصدارات السابقة من الملف كانت تحتوي على بيانات اعتماد MySQL “إنتاجية”.
سمح مفتاح Cloudflare API للباحثين، ولا سيما mdmck10، بالاستعلام والحصول على قائمة بالملفات المناطق النشطة مرتبط بحساب Cloudflare المحدد.
توهج السحاب “منطقة” هي وسيلة لمسؤولي موقع الويب لتنظيم وإدارة النطاقات في حساب Cloudflare الخاص بهم، وإعدادات مميزة لكل مجال.
بشكل تقريبي، تتكون كل “منطقة” في Cloudflare من اسم المجال، وإعدادات DNS الخاصة بها، وتواريخ إنشاء المنطقة أو تعديلها، والبيانات الوصفية المتعلقة بمالكها.
من بين جميع النطاقات (أو المناطق) التي تم إرجاعها لحساب Cloudflare، كان هناك نطاق واحد مخصص لـcdn.polyfill.io. لاحظ كيف يتطابق “معرف” المنطقة أيضًا مع معرف المنطقة المدرج في ملف .env الموجود في مستودع GitHub أعلاه:
يحتوي ملف JSON المكون من 430 سطرًا، والذي تمت مشاركته بواسطة mdmck10، على إدخالات إضافية للمجالات،ملف ثابت.نت,bootcdn.net, bootcss.com,مما يشير إلى أنها تمت إدارتها ضمن نفس حساب مستخدم Cloudflare، الذي يديره كيان مشترك.
بينما كلاودفلير لم يسمح أبدًا لشركة Polyfill.io باستخدام شعارها واسمهاوعلى الرغم من أن Polyfill.io لم تؤيد الخدمة مطلقًا، إلا أنه في يوم الأربعاء، تم تبديل سجلات DNS الخاصة بـ Polyfill.io بشكل غامض إلى سجلات Cloudflare، مما يشير إلى أن خدمة Cloudflare كانت قيد الاستخدام جزئيًا على الأقل من قبل مالكي النطاق.
لقد اتصلنا بـ Cloudflare في ذلك الوقت لمعرفة ما إذا كانت متورطة في التغيير في سجلات DNS هذه، أو في المساعدة في تخفيف الهجوم، لكننا لم نسمع أي رد.
من المحتمل أن يستمر الهجوم الأوسع منذ يونيو 2023
لفت فريق MalwareHunterTeam، الذي كان يراقب الوضع عن كثب، الانتباه إلى حقيقة أن تحذير Google للمعلنين بشأن هجوم سلسلة التوريد لم يقتصر على الصفحات المقصودة للإعلانات التي تتضمن polyfill.io، بل ثلاث خدمات أخرى، وهي Bootcss وBootCDN وStaticfile.
“لكن بطريقة ما، تخطى الجميع الاهتمام بهذا الأمر. فقد ذكرت بعض المقالات الأولى عن الموقف تلك النطاقات بطريقة أو بأخرى… وهذا كل ما في الأمر.” يكتب MalwareHunterTeam في سلسلة مواضيع على X (Twitter سابقًا).
وحذرت مجموعة الأبحاث الأمنية من أن التأثير المشترك الناتج عن هذه الخدمات الثلاث الأخرى من المرجح أن يكون له تأثير أوسع بكثير مما كان متوقعا في البداية.
في الآونة الأخيرة، صرح ماثيو برينس، المؤسس المشارك والرئيس التنفيذي لشركة Cloudflare، أن “عشرات الملايين من مواقع الويب (4٪ من الويب)” استخدمت Polyfill.io، وأطلقت على الحادث اسم “مقلق للغاية” كما هي.
Nullify، وهو محقق في الطب الشرعي وباحث أمني مقيم في أستراليا، قدم الآن ملاحظة أكثر إثارة للقلق.
توجد إشارات إلى وظيفة “check_tiaozhuan”، التي تمثل التعليمات البرمجية الضارة المحقونة، في “المنتديات الصينية التي يعود تاريخها إلى يونيو 2023”.
ومنذ ذلك الحين، تم تداول “نسخة بدائية للغاية من نفس الكود المحقون” عبر BootCSS، وفقًا للباحث.
تمكنت BleepingComputer من التأكد بشكل مستقل من أن صفحات المنتديات المتعددة باللغة الصينية، والتي يعود تاريخها إلى 20 يونيو 2023، بها مطورون يحاولون فك رموز “التعليمات البرمجية المبهمة” الشاذة التي يقدمها BootCSS واستيعابها.
وظيفة “check_tiaozhuan”، وفقًا للمطورين، ستقوم بمسح ما إذا كان الزائر يستخدم جهازًا محمولاً و”إعادة توجيه متصفح المستخدم إلى صفحة أخرى”:
(كمبيوتر نائم)
باحثو سانسيك الذين تم إطلاق الإنذارات لأول مرة بشأن هجوم Polyfill.ioلقد قاموا بتحديث قائمة المجالات المرتبطة بهجوم سلسلة التوريد لتشمل:
بوت سي دي إن.نت
bootcss.com
ملف ثابت.نت
staticfile.org
إتحاد أدجس.كوم
xhsbpza.com
union.macoms.la
نيوكرببك.كوم
حالة “Whack-a-mole”: التأثير الكامل لم يتم تقييمه بعد
ومن المرجح أن يتكشف التأثير الأوسع للهجوم في الأسابيع المقبلة، ولم يتم بعد استيعاب نطاقه بالكامل.
بعد فترة وجيزة من إغلاق موقع Polyfill.io بواسطة Namecheap، ظهرت خدمة أخرىتم إطلاق موقع polyfill.com من قبل مشغليها. اعتبارًا من صباح اليوم، لم يعد موقع polyfill.com يستجيب بعد يتم إغلاقها أيضًا.
ومع ذلك، يحذر محلل التهديدات الاستخباراتية، دومينيك ألفيري، من أن مشغلي Polyfill.io من المحتمل أن يكونوا قد قاموا بتخزين نطاقات متعددة مسبقًا مع مسجلين مختلفين، مشيرًا إلى “polyfill.cloud” كأحد الأمثلة المحتملة. يمكن أن يؤدي النشر النشط لهذه المجالات إلى تحويل هذا الحادث بسرعة إلى قرصنة حالة ضرب الخلدإذا وقع أي شخص في غرام استخدام هذه الخدمات.
تتضمن المجالات الاحتياطية المسجلة لدى المسجل الحالي /polyfill[.]سحاب
إنهم سيستمرون في الانتقال من مجال إلى آخر.
ولا تزال المجموعة تحتفظ بنفس التسجيل على جميع أصولها المسجلة المعروفة.@malwrhunterteam @1ZRR4H
– دومينيك ألفيري (@AlvieriD) 27 يونيو 2024
تظل نسب اكتشاف النطاقات المرتبطة بالهجوم منخفضة بين محركات مكافحة الفيروسات الرائدة وقد تكون جهود الطب الشرعي البشرية ضرورية لتدقيق بيئاتك:
نسب الكشف عن النطاقات حاليا:
cdn.bootcdn[.]شبكة
cdn.bootcss[.]كوم
cdn.staticfile[.]شبكة
cdn.staticfile[.]ORG
دعونا نرى غدا… pic.twitter.com/m6EGEIyCwu— MalwareHunterTeam (@malwrhunterteam) 27 يونيو 2024
قد يستفيد معالجو الاستجابة للحوادث وفرق الدفاع عن SOC من البحث في سجلات SIEM الخاصة بهم عن أحداث الشبكة التي تمثل الاتصالات بنطاقات CDN المرتبطة بالحادث:
KQL للصيد في MDE
###############أحداث شبكة الأجهزة
| حيث تم إنشاء الوقت> منذ (30 يومًا)
| حيث RemoteUrl has_any(“polyfill[.]io’,’cdn.bootcdn[.]net”، cdn.bootcss[.]com”، cdn.ملف ثابت[.]net”،”cdn.staticfile[.]”منظمة”
| فرز حسب الطابع الزمني###############
أعد الناب للتنفيذ! https://t.co/bj674ZKQ3r
— mRr3b00t (@UK_Daniel_Card) 28 يونيو 2024
إذا لم تكن قد قمت بذلك بالفعل، ففكر في استبدال الاستخدام الحالي لأي من هذه الخدمات ببدائل آمنة تم إعدادها بواسطةكلاودفليروبسرعة.
Polykill.ioتعد Leak Signal من شركة الأمن السيبراني خدمة أخرى مفيدة تتيح لك تحديد مواقع الويب باستخدام Polyfill.io وإجراء التبديل.
حاول BleepingComputer الاتصال بـ بوليفيل العالمية X للتعليق قبل النشر ولكنهم قاموا بتعطيل الرسائل المباشرة. مع تعطل نطاقي Polyfill .io و.com الآن، لم تعد عناوين البريد الإلكتروني للمشرف تعمل. لقد تواصلنا أيضًا مع Funnull للتعليق ولكن بريدنا الإلكتروني استعاد عافيته. لقد تواصلنا معهم الآن عبر Telegram وننتظر الرد.