خبراء يكتشفون ثغرة في أنظمة “يونيكس” أشد خطرا من “هارتبليد”

جي بي سي نيوز - حذر خبراء أمنيون الأربعاء من أن ثغرة أمنية مكتشفة حديثا في جزء كثير الاستخدام من نظام التشغيل “لينوكس”، يعرف باسم “باش” Bash، قد تعرض أجهزة الحاسوب لتهديد أكبر من ثغرة “هارتبليد” التي اكتشفت في شهر نيسان/أبريل الماضي.

و “باش” برنامج يستخدم للتحكم بـ “سطر الأوامر” على العديد من الحواسيب العاملة بنواة “ينوكس” Unix، وقال الخبراء الأمنيون إن بإمكان المتسللين استغلال ثغرة برنامج “باش” للسيطرة على النظام المستهدف كاملا.

وأصدر “فريق الاستعداد لطوارئ الحاسب الآلي في الولايات المتحدة” US-CERT إنذارا يقول فيه إن الثغرة تضر بجميع أنظمة التشغيل القائمة على نواة “يونيكس”، بما في ذلك نظام “لينوكس” ونظام التشغيل “ماك أو إس إكس” Mac OS X التابع لشركة “آبل”.

وقال دان جويدو، الرئيس التنفيذي لشركة أمن المعلومات “تريل أوف بيتس” Trail of Bits إن ثغرة “هارتبليد” تسمح للمتسليين بالتجسس على الحواسيب ولكنها لا تسمح بالسيطرة عليها كاملا. وأضاف “طريقة استغلال هذه الثغرة بسيطة جدا أيضا. يمكنك ذلك بمجرد قص ولصق سطر أوامر وستحصل على نتائج طيبة”.

وحذر تود بيردسلي، وهو مدير الهندسة لدى شركة أمن المعلومات “رابيد7″ Rapid7 من أن الثغرة صنف ضمن الدرجة العاشرة من حيث الشدة، ما يعني أنها الأخطر تأثيرا، ولكنها صنفت أيضا “منخفض” من حيث درجة تعقيد الاختراق، ما يعني أنه من السهل نسبيا للمتسللين شن الهجمات.

وقال بيردسلي “باستخدام هذه الثغرة، يستطيع المتسللون السيطرة على نظام التشغيل، والوصول إلى معلومات حساسة، وإجراء التغييرات، وغير ذلك”. وأضاف بيردسلي “يجب على صاحب كل نظام يستخدم برنامج باش ترقيع الثغرة على الفور”.

ونصح فريق الاستعداد لطوارئ الحاسب الآلي في الولايات المتحدة مستخدمي الحواسيب الشخصية بالحصول على تحديثات نظام التشغيل من المصنعين، حيث قامت بعض شركات تطوير أنظمة “لينوكس”، مثل “ريد هات” Red Hat، بالفعل بالتحضير للتحديث.

وللمقارنة، فإن ثغرة “هارتبليد”، التي اكتشفت في شهر نيسان/أبريل الماضي، تقع في برنامج للتشفير مفتوح المصدر، يدعى “أوبن إس إس إل” OpenSSL. وعرضت هذه الثغرة بيانات الملايين من الناس للخطر مع استخدام برنامج “أوبن إس إس إل” تقريبا في ثلثي مواقع الويب.

كما أجبرت هذه الثغرة العشرات من شركات التقنية بإصدار ترقيعات أمنية للمئات من منتجاتها التي تستخدم برنامج التشفير “أوبن إس إس إل”.

أما برنامج “باش”، فهو برنامج للأوامر انتجته مؤسسة غير ربحية هي “فري سوفتوير فونديشين” Free Software Foundation.