24 سبتمبر 2022·1 دقيقة قراءة

ثغرة حرجة في التعليمات البرمجية بواسطة Zapier Exposed: Zenity Uncovers #ZAPESCAPE

كشفت Zenity ، وهي شركة رائدة في توفير حوكمة الأمان لتطوير بدون رمز / كود منخفض ، عن ثغرة خطيرة في Code by Zapier. كان من الممكن أن يسمح خطأ #ZAPESCAPE للمستخدمين بالتلاعب وسرقة البيانات الحساسة من خلال التحكم في بيئة المؤسسة بأكملها. ومنذ ذلك الحين ، خفف زابير من حدة المشكلة تمامًا. </ h2>

قامت Zenity ، وهي الشركة الرائدة في مجال حوكمة الأمان لتطوير البرامج no-codelow-code ، بالإعلان عن ثغرة أمنية خطيرة في الهروب من وضع الحماية اكتشفوها في Code by Zapier. كان من الممكن أن يمنح الخلل ، الذي يطلق عليه #ZAPESCAPE ، المهاجمين سيطرة كاملة على بيئة تنفيذ المؤسسة ، ومن المحتمل أن يمنحهم إمكانية الوصول إلى التلاعب بالنتائج وسرقة المعلومات الحساسة.

وجد فريق البحث الأمني في Zenity الثغرة الأمنية في منتصف مارس 2022 داخل Code by Zapier ، وهي خدمة يستخدمها Zapier لتنفيذ كود مخصص كجزء من Zap. قد يؤدي استغلال #ZAPESCAPE إلى تمكين المستخدم من التحكم في بيئة تنفيذ التعليمات البرمجية المخصصة للمسؤول. علاوة على ذلك ، يمكن تنفيذ الاستغلال عبر مجلد خاص للمستخدم ، والذي لا يمكن الوصول إليه من قبل المسؤولين ، ويظل غير قابل للكشف.

قال Michael Bargury ، المؤسس المشارك ومدير التكنولوجيا في Zenity ، "إن الثغرة الأمنية التي اكتشفها فريقنا سمحت لأي مستخدم Zapier بالسيطرة الكاملة على بيئة مؤسستهم بأكملها. يمكن للمستخدم قراءة وحتى معالجة زقزقات المشرف ، والمسؤول سوف يفعل ليس لديهم طريقة لمعرفة ذلك ".

لقد كان فريق Zapier الأمني سريعًا وسريعًا في معالجة هذه المشكلة ، والتي تم الآن تخفيف حدتها تمامًا. تم تنسيق هذا الكشف مع فريق Zapier ، وتؤكد Zenity أن الثغرة الأمنية قد تم تخفيفها بالكامل. ومع ذلك ، فقد تم استغلال Code من قبل حسابات مستخدمي Zapier قبل 17 أغسطس 2022.

يضيف بارجوري أنه على الرغم من أن Zapier منصة آمنة ، فلا توجد منصة محصنة ضد نقاط الضعف. عند إنشاء Zap ، يجب على المستخدمين تحمل مسؤولية تأمين ما يبنونه فوق النظام الأساسي ، حيث لا يزال تطوير no-code التطوير ويتطلب الالتزام بنموذج المسؤولية المشتركة.

باعتبارها المنصة الأولى والوحيدة لحوكمة الأمان للتطبيقات التي لا تحتوي على تعليمات برمجية / ذات التعليمات low-code وعمليات الدمج والأتمتة ، توفر Zenity خدمة أساسية. مع ظهور الأنظمة الأساسية التي لا تحتوي على كود / low-code مثل AppMaster ، يمكن للمطورين المحترفين والمواطنين على حد سواء إنشاء حلول برمجية مخصصة دون معرفة واسعة بالشفرة. ومع ذلك ، فإن هذه الراحة تأتي مع مخاطر أمنية محتملة إذا لم يتم التحكم فيها وإدارتها بشكل كافٍ.

تمكّن Zenity متخصصي تكنولوجيا المعلومات والأمن من الحصول على رؤية شاملة والتحكم في عقاراتهم التي لا تحتوي على كود / low-code. وهذا يسمح لهم بالتخلص من نقاط الضعف المحتملة واعتماد نهج أكثر أمانًا للتنمية. يوفر النظام الأساسي ميزات مثل المخزون عبر الأنظمة الأساسية ، والتقييم المستمر للمخاطر ، وإجراءات المعالجة الآلية ، وكتيبات الحوكمة لفرض سياسات الأمان طوال دورة حياة عدم وجود رمز / low-code بالكامل.

تأسست Zenity من قبل قادة وخبراء الأمن السيبراني السابقين Microsoft ، Ben Kliger و Michael Bargury ، وهي شركة رائدة في حوكمة الأمان من أجل لامركزية تكنولوجيا المعلومات. تعمل الشركة مع الشركات الكبيرة ، بما في ذلك الشركات المدرجة في قائمة Fortune 500 ، وتقود مجموعة OWASP لأفضل 10 مخاطر أمنية منخفضة / No-Code.

أخبار ذات صلة