كيف تمكن مخترق من الوصول لمحادثات الحكومة الأميركية على سيجنال؟

تمكّن أحد القراصنة من الوصول إلى خوادم تطبيق "TM SGNL"، النسخة المعدّلة من تطبيق "سيجنال" (Signal)، خلال أقل من 20 دقيقة، وذلك في عملية استندت إلى استغلال بسيط لثغرة صغيرة، لكنها بالغة التأثير، إذ كشف عن تركيبات برمجية قديمة وإعدادات غير مؤمنة على الإطلاق.

بدأ المخترق رحلته بالوصول إلى لوحة التحكم الخاصة بالنطاق الآمن للتطبيق عبر العنوان: secure.telemessage.com، وفقاً لتصريحاته لموقع Wired.

تشفير عتيق

بمجرد الدخول، لاحظ المخترق أن النظام يعتمد على تشفير كلمات المرور باستخدام خوارزمية MD5 على واجهة المستخدم، وهي خوارزمية قديمة وضعيفة لم تعد تُستخدم في نظم التشفير الحديثة نظراً لقابليتها للاختراق.

الأخطر من ذلك أن التشفير كان يتم على واجهة المستخدم فقط، ما يجعل قيمة "الهاش" الناتجة تُستخدم عملياً ككلمة مرور، وبالتالي يسهل نسخها واستخدامها للدخول مباشرة.

وبعد أن تبين للمخترق ضعف أساليب الحماية، شكّ في أن بنية النظام تعتمد على تقنيات قديمة، وبالفعل وجد أن TeleMessage تستخدم JSP، وهي تقنية لإنشاء تطبيقات الويب ترجع إلى أوائل العقد الأول من الألفية الحالية، ما زاد من احتمالية وجود ملفات حساسة مكشوفة للعامة على الإنترنت.

للبحث عن الثغرة، استخدم أداة feroxbuster، وهي أداة تستهدف اكتشاف الموارد العامة المتاحة على مواقع الويب، ووجه عمليات المسح إلى نطاقين تابعين لـ TeleMessage هما: secure.telemessage.com وarchive.telemessage.com.، إذ بدأ الاختراق الحقيقي عندما اكتشف رابطاً على النطاق الثاني ينتهي بـ/heapdump. عند فتح هذا الرابط، قدّم الخادم ملفاً كبيراً يُعرف باسم heap dump، وهو ملف يحتوي على لقطة من الذاكرة المؤقتة للخادم (RAM) وقت تحميل الصفحة، بحجم وصل إلى نحو 150 ميجابايت.

هذه الملفات غالباً ما تحتوي على أجسام الطلبات HTTP، التي قد تتضمن بيانات اعتماد المستخدمين، وباستخدام كلمة مفتاحية بسيطة مثل password، وجد المخترق أسماء مستخدمين وكلمات مرور بشكل نصي ضريح غير مشفر.

بيانات حساسة

وعند استخدام واحدة من هذه البيانات لتسجيل الدخول إلى لوحة الإدارة، تبيّن أنه اخترق حساباً لموظف تابع لوكالة الجمارك وحماية الحدود الأميركية، التي أكدت لاحقاً استخدامها لخدمة TeleMessage.

ولم تقتصر البيانات المكشوفة على بيانات الدخول، بل شملت أيضاً سجلات محادثات داخلية غير مشفرة بصيغة نصية، من بينها محادثات خاصة بمنصة Coinbase الشهيرة لتداول العملات الرقمية.

ورغم تأكيد Coinbase عدم وجود دليل على تعرض بيانات العملاء للخطر، فإن مجرد كشف هذه المحادثات يطرح تساؤلات كبرى بشأن البنية الأمنية للتطبيق.

تحليل الشيفرة المصدرية لتطبيق TM SGNL كشف لاحقاً أن التطبيق يرسل الرسائل بصيغة غير مشفرة إلى خادم أرشفة خاص archive.telemessage.com، رغم الترويج له بأنه يوفر تشفيراً "من طرف إلى طرف" يشمل حتى عملية الأرشفة المؤسسية.

الخادم كان مبنياً باستخدام إطار Spring Boot بلغة Java، ويضم ميزة تُعرف بـ Actuator، تُستخدم لمراقبة التطبيقات، وتتضمن نقطة الوصول /heapdump. هذه النقطة كانت مكشوفة للجميع، ما سمح بتنزيل بيانات حساسة من الخادم دون الحاجة إلى مصادقة للتوثيق.

وفقًا لشركة Wiz المتخصصة في الأمن السحابي، فإن نقطة /heapdump المصنفة ضمن أكثر نقاط الضعف شيوعاً، كانت حتى عام 2017 مفعّلة بشكل افتراضي، قبل أن يتم حصر الوصول إلى نقاط آمنة فقط مثل /health و/info. غير أن مطوري TeleMessage على ما يبدو إما استخدموا إصداراً قديماً من Spring Boot، أو قاموا يدوياًَ بفتح نقطة الوصول هذه، ما تسبب في هذا الاختراق واسع النطاق.

وكانت هذه التفاصيل قد ظهرت بعد أيام من تداول صورة لمايك والتز، مستشار الأمن القومي السابق للرئيس ترمب، وهو يستخدم TM SGNL خلال اجتماع رسمي. وبعد الحادثة، أبلغ مصدر مجهول الصحفي ميكا لي أنه تمكن من اختراق التطبيق بسهولة، ما دفع TeleMessage لاحقاً إلى تعليق خدماتها مؤقتاً وسط صمت رسمي من الشركة الأم "Smarsh".

مشاركاتكم (0)