تخطى إلى المحتوى الرئيسي

81 مليون محاولة اختراق: هجوم رش كلمات مرور على Azure CLI يتجاوز حماية MFA

فريق جلتش
منذ ساعة0 مشاهدة7 دقائق
81 مليون محاولة اختراق: هجوم رش كلمات مرور على Azure CLI يتجاوز حماية MFA

هجوم رش كلمات مرور ضخم على Azure CLI اخترق 78 حساباً في 81 مليون محاولة. يكشف هذا الهجوم عن ثغرات في سياسات الوصول المشروط (CAP) وإعدادات MFA.

مقدمة تحليلية

بدأت أنباء عن حملة اختراق ضخمة تستهدف واجهة سطر الأوامر (Azure CLI) الخاصة بخدمات Microsoft Azure السحابية، والتي أسفرت عن اختراق 78 حساباً عبر 64 مؤسسة مختلفة خلال أسبوعين فقط، مع تسجيل أكثر من 81 مليون محاولة تسجيل دخول. هذه الأرقام، التي كشفت عنها شركة Huntress المتخصصة في الأمن السيبراني، تسلط الضوء على هجوم رش كلمات مرور (password spray attack) واسع النطاق ومنهجي، يستغل ثغرات في تكوينات سياسات الوصول المشروط (Conditional Access Policies - CAP) وحتى تجاوز بعض إعدادات المصادقة متعددة العوامل (MFA) غير المحكمة. يثير هذا الحادث قلقاً بالغاً حول فعالية الإجراءات الأمنية الأساسية في البيئات السحابية ويستدعي مراجعة عاجلة لكيفية إدارة الهوية والوصول في Microsoft Azure. تُشير التفاصيل الأولية إلى أن الحملة جرت بين 12 و 26 يونيو 2026، مستهدفة بشكل خاص نقاط الوصول الخاصة بـ Azure CLI. المفاجئ في هذا الهجوم هو قدرته على اختراق حسابات حتى في المؤسسات التي كانت تعتقد أنها محمية بواسطة CAP و MFA. يكمن الخطر في استغلال تدفق OAuth قديم وغير موصى به، يُعرف باسم Resource Owner Password Credentials (ROPC)، والذي يُمكن المهاجمين من تجاوز بعض ضوابط الأمان إذا لم تكن السياسات مُكوَّنة بدقة وشاملة لجميع أنواع التطبيقات وتدفقات المصادقة. إن حجم الهجوم، الذي تجاوز 81 مليون محاولة، يعكس طبيعته المؤتمتة والعشوائية، حيث لم يكن الاستهداف قائماً على نوع العمل أو الصناعة، بل على انتشار كلمات المرور الشائعة والمخترقة سابقاً. هذا يؤكد على أن التهديدات التقليدية، عند دمجها مع نقاط ضعف في البنية التحتية السحابية، يمكن أن تشكل خطراً جسيماً حتى على الأنظمة الحديثة والمعقدة، وتضع عبئاً إضافياً على المؤسسات لضمان تكوين أمني لا تشوبه شائبة.

التحليل التقني

نشأ الهجوم من نطاق عناوين IPv6 محدد، وهو `2a0a:d683::/32`، والذي يُعتقد أنه تحت سيطرة مزود البنية التحتية للإنترنت LSHIY LLC (AS32167). استخدم المهاجمون طريقة رش كلمات المرور، حيث جربوا عدداً كبيراً من أزواج أسماء المستخدمين وكلمات المرور الشائعة أو المسربة سابقاً ضد حسابات Microsoft في Azure CLI. ما مكنهم من تحقيق الاختراقات هو استغلال تدفق مصادقة OAuth 2.0 قديم ومُهمل يُسمى Resource Owner Password Credentials (ROPC). تدفق ROPC هو نوع من منح OAuth 2.0 الذي يسمح لتطبيق العميل بتلقي اسم المستخدم وكلمة المرور مباشرة من المستخدم ثم إرسال هذه البيانات إلى خادم المصادقة لتبادلها برمز وصول (access token). توصي Microsoft بشدة بعدم استخدام ROPC في معظم السيناريوهات، حيث إنه غير متوافق مع المصادقة متعددة العوامل (MFA) وتم إهماله في OAuth 2.1. تحذر Microsoft في وثائقها من أن هذا التدفق يتطلب درجة عالية جداً من الثقة في التطبيق ويحمل مخاطر لا توجد في التدفقات الأخرى، ويجب استخدامه فقط عندما لا تكون التدفقات الأكثر أماناً ممكنة. المثير للقلق هو أن الهجوم نجح في تجاوز سياسات الوصول المشروط (CAP) وإعدادات MFA في العديد من المؤسسات بسبب سوء التكوين. كشفت Huntress عن عدة سيناريوهات سمحت بتجاوز MFA:
  • عدم فرض MFA على 'All Cloud Apps'، مما أدى إلى استبعاد Azure CLI الذي استخدمه المهاجمون.
  • فرض MFA فقط على مجموعات مستخدمين محددة، مثل 'Admins'، مما ترك المستخدمين العاديين عرضة للخطر.
  • فرض MFA فقط عندما تنشأ الطلبات من 'non-trusted locations'، مما قد لا يشمل بعض عناوين IP الخبيثة.
بالإضافة إلى ذلك، كشفت التحقيقات أن ثماني شركات من المتضررة لم تكن لديها سياسة MFA على الإطلاق، مما يعكس مستوى الإهمال الأمني. كان نمط الهجوم ثابتاً نسبياً، حيث تم اختراق ما بين حسابين وأربعة حسابات يومياً بين 12 و 21 يونيو 2026، باستثناء 19 يونيو عندما تم اختراق 12 حساباً. ثم تسارع هذا المعدل بشكل كبير في 22 يونيو، حيث تأثر 30 حساباً عبر 23 شركة، ليصل العدد الإجمالي إلى 78 حساباً مخترقاً عبر 64 مؤسسة. هذه التفاصيل التقنية تؤكد على ضرورة الفهم العميق لتفاعلات سياسات الأمان مع مختلف بروتوكولات المصادقة.

السياق وتأثير السوق

تُعد هجمات رش كلمات المرور من أقدم وأكثر أساليب الهجمات السيبرانية شيوعاً، ولكن هذا الحادث يوضح كيف يمكن للتهديدات التقليدية أن تكتسب خطورة جديدة عند استهداف بيئات السحابة الحديثة واستغلال الفجوات في تكويناتها. في الماضي، كانت هذه الهجمات تستهدف بشكل أساسي الشبكات المحلية أو الخدمات الأقل حماية، لكن استهداف Azure CLI، وهو واجهة إدارية حيوية، يرفع من مستوى المخاطر بشكل كبير. هذا النوع من الهجمات يُظهر أن الثقة المفرطة في الآليات الأمنية الافتراضية أو التكوينات الأساسية يمكن أن تكون مكلفة. على صعيد السوق، يُثير هذا الهجوم تساؤلات حول أمان الأنظمة السحابية الكبرى بشكل عام. بينما تقدم Microsoft وشركات السحابة الأخرى أدوات أمان متقدمة مثل CAP و MFA، فإن الفشل في تطبيقها بشكل صحيح يمكن أن يقوض فعاليتها. يمكن أن يؤدي ذلك إلى فقدان الثقة لدى العملاء، خاصة المؤسسات التي تعتمد بشكل كبير على Azure لعملياتها الحساسة. المقارنة مع المنافسين مثل AWS و Google Cloud تُظهر أن جميع مقدمي الخدمات السحابية يواجهون تحدي ضمان أن عملاءهم لا يسيئون تكوين ميزات الأمان القوية المتاحة لديهم، وأن هناك حاجة مستمرة للتعليم والتوجيه حول أفضل الممارسات الأمنية. تأثير السوق لا يقتصر على Microsoft وحدها. لاحظت Huntress زيادة هائلة في حجم هجمات رش بيانات الاعتماد بنسبة تزيد عن 155 ضعفاً عبر قاعدة عملائها، مما يشير إلى أن هذا النمط من الهجمات ليس حادثاً معزولاً، بل هو جزء من اتجاه أوسع للمجرمين السيبرانيين الذين يستهدفون الثغرات في تكوين الهوية والوصول. هذا يفرض ضغطاً كبيراً على الشركات لتعزيز فرق أمنها، والاستثمار في أدوات الكشف والاستجابة، وإجراء تدقيقات أمنية منتظمة لضمان التوافق مع أفضل الممارسات ضد التهديدات المتطورة باستمرار.

رؤية Glitch4Techs

تكشف هذه الحادثة عن نقطة ضعف حرجة لا تتعلق بقوة المصادقة متعددة العوامل (MFA) بحد ذاتها، بل بطريقة تكوينها وتطبيقها ضمن سياسات الوصول المشروط (CAPs). إن الافتراض بأن تفعيل MFA يوفر حماية كاملة دون تفحص دقيق لكيفية تفاعله مع جميع تدفقات المصادقة (بما في ذلك البروتوكولات القديمة مثل ROPC) هو خطأ شائع يمكن أن تكون له عواقب وخيمة. يوضح هذا الهجوم أن اعتماد بروتوكولات قديمة ومهملة، حتى لو كانت موثقة بأنها غير آمنة، يظل يشكل خطراً ما لم يتم حظرها أو التحكم فيها بشكل صريح داخل بيئة السحابة. تتضمن مخاوف الأمن الرئيسية التي يبرزها هذا الهجوم:
  • التكوين الافتراضي مقابل التكوين المُحكم: غالباً ما تعتمد المؤسسات على الإعدادات الافتراضية أو الحد الأدنى من التكوينات التي قد لا توفر الحماية الكافية ضد الهجمات المعقدة.
  • عدم فهم تفاعلات البروتوكولات: هناك حاجة ماسة لفهم أعمق لكيفية تفاعل تدفقات المصادقة المختلفة (خاصة القديمة والجديدة) مع سياسات الوصول المشروط.
  • المخاطر الكامنة في أدوات سطر الأوامر: تعد واجهات مثل Azure CLI نقاط دخول قوية وتتطلب حماية خاصة بسبب قدرتها على الوصول إلى موارد حساسة.
نتوقع أن تستمر الهجمات في استهداف مثل هذه الثغرات في التكوين، حيث يسعى المهاجمون دائماً إلى إيجاد أضعف حلقة في سلسلة الأمان. يمكن أن تشمل الهجمات المستقبلية استغلال بروتوكولات قديمة أخرى أو فجوات في سياسات الوصول الموحدة التي تفشل في تغطية جميع نقاط الوصول أو أنواع التطبيقات. لتحصين الدفاعات ضد هذه التهديدات، يجب على المؤسسات اعتماد نهج شامل ومُركز. توصي Glitch4Techs بما يلي لمواجهة هذا النوع من الهجمات:
  • فرض MFA الشامل: يجب على المؤسسات تكوين سياسات الوصول المشروط لفرض MFA على 'All Users, All Cloud Apps, and All Client App types' دون استثناء.
  • تقييد الوصول إلى Azure CLI: يجب تقييد استخدام Azure CLI للمستخدمين غير الإداريين، وتوفير بدائل أكثر تحكماً إذا لزم الأمر.
  • تدوير بيانات الاعتماد بانتظام: يجب على المؤسسات فرض سياسات قوية لتدوير كلمات المرور والاستجابة السريعة لأي اختراق محتمل لبيانات الاعتماد.
  • التدقيق المستمر: إجراء تدقيقات أمنية منتظمة لسياسات الوصول المشروط، وسجلات المصادقة، وتكوينات MFA لتحديد أي فجوات أو تكوينات خاطئة.
في الختام، يُظهر هجوم Azure CLI بوضوح أن امتلاك أدوات أمنية قوية لا يكفي؛ يجب أن تكون هذه الأدوات مُكوَّنة ومُدارة بشكل صحيح لمواجهة التهديدات المتطورة. الثغرات التي كشفها هذا الهجوم في CAPs التي لم يتم تكوينها بشكل مناسب هي دعوة للمؤسسات لإعادة تقييم استراتيجياتها الأمنية والتحقق من أن تدابيرها الدفاعية قوية بما يكفي حقاً.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.