News
MARKET SIGNAL:

CISA تشدد ضوابط GitHub بعد تسريب مفاتيح AWS في مايو

موجز التحرير

قالت CISA إن مفاتيح AWS GovCloud ذات صلاحيات مرتفعة من متعاقد ظهرت في مستودع GitHub عام في مايو، ما دفعها إلى تبديل الأسرار ومراقبة المستودعات وإعداد أدلة استجابة جديدة. وقالت الوكالة إن السجلات لم تظهر تعرضا لبيانات العملاء أو المهام، لكنها لم تسم المتعاقد أو المستودع أو مدة الانكشاف أو صلاحيات AWS الدقيقة.

تمت المراجعة مقابل مواد المصدرتحرير مكتب الأمن السيبراني في SendTech Times
CISA تشدد ضوابط GitHub بعد تسريب مفاتيح AWS في مايو
مصدر الصورة: CyberScoop

تحول CISA تسريب اعتمادات في مايو إلى خطة تنظيف أمنية علنية بعد ظهور مفاتيح AWS GovCloud ذات صلاحيات مرتفعة من متعاقد في مستودع GitHub عام، لكن الوكالة قالت إن مراجعة السجلات لم تجد تعرضا لبيانات العملاء أو بيانات المهام.

قالت وكالة Cybersecurity and Infrastructure Security Agency الأمريكية إنها أوقفت المستودع وبيئة التطوير المتأثرين، وألغت وصول الشخص المسؤول، وبدلت الأسرار بعد الحادث. وقالت الوكالة أيضا إنها ستعزز مراقبة التحميلات إلى المستودعات العامة وتحسن طريقة إبلاغ الباحثين عن الثغرات التي تخص CISA نفسها.

CISA تقول إن المفاتيح المسربة لم تستخدم خارج الوكالة

قالت CISA إنها علمت في 15 مايو بأن مفاتيح Amazon AWS GovCloud ذات صلاحيات مرتفعة انكشفت عبر مستودع GitHub عام تابع لمتعاقد. وقالت الوكالة إنها تحركت لوقف ضرر إضافي عبر إيقاف المستودع وبيئة التطوير وإلغاء الوصول المرتبط بالشخص المسؤول عن التسريب.

قالت الوكالة إنها حللت بعد ذلك المستودع وملفات السجل لتحديد نطاق الحادث. ووفق حساب الوكالة الذي أوردته CyberScoop، لم تستخدم الاعتمادات المسربة خارج CISA ولم تتعرض بيانات العملاء أو بيانات المهام.

خلق الإفصاح مع ذلك اختبارا علنيا لوكالة تطلب بانتظام من مؤسسات أخرى مشاركة دروس الاستجابة للحوادث. وكتب Preston Werntz، القائم بأعمال كبير مسؤولي المعلومات، وBrad Libbey، القائم بأعمال كبير مسؤولي أمن المعلومات، أن تبادل المعلومات ضروري لتحديد الاتجاهات والوعي الوطني الأوسع.

مراقبة تحميلات GitHub تصبح بندا في المعالجة

قالت CISA إن الاستجابة نجحت في بعض الجوانب لأن الموظفين تعاملوا مع البلاغ بجدية، وامتلكوا سجلات قابلة للاستخدام، وطبقوا مبادئ الثقة الصفرية. وحددت الوكالة أيضا فجوات قالت إنها تحتاج إلى إصلاح بعد تعرض GitHub.

قالت الوكالة إنها ستستخدم قدرات endpoint detection and response لمراقبة وإدارة التحميلات إلى المستودعات العامة. كما بدلت جميع الأسرار بعد التسريب ووضعت خطة لتحسين إدارة الأسرار. وقالت CISA إن الحادث أظهر أن مراقبة المستودعات العامة يجب أن تدار قبل أن تصل تعرضات مشابهة إلى مرحلة الاستجابة نفسها.

قائمة المعالجة هذه أضيق من إصلاح كامل للاستجابة للاختراقات. لم يصف الحساب العام اختراق عملاء أو تعطلا تشغيليا أو سرقة بيانات. بل وصف تعرضا لاعتمادات سحابية ذات صلاحيات مرتفعة بسبب متعاقد وخطة تنظيف تركز على ضوابط المستودعات العامة وإدارة الأسرار وقنوات إبلاغ الباحثين.

قناة إبلاغ الباحثين تبقى جزءا من الإصلاح

قالت CISA إنها تريد تسهيل الإبلاغ عن الثغرات المتعلقة بالوكالة نفسها. وقالت الوكالة إنها أكثر اعتيادا على تلقي معلومات الثغرات الخاصة بمخاطر إلكترونية أوسع في القطاعين العام والخاص من تلقي مسائل تخص الوكالة نفسها.

قالت CISA أيضا إنها اضطرت إلى بناء دليل تعامل مع حوادث GitHub أثناء الاستجابة، وأقرت بالحاجة إلى إعداد أدلة لحوادث أخرى مسبقا. وقال Guillaume Valadon، الباحث الأمني في GitGuardian الذي كشف التسريب، لـ CyberScoop إن CISA شرحت ما حدث وما نجح وما يحتاج إلى تحسين.

وقال Valadon أيضا لـ CyberScoop إن الاستجابة اعترفت بفحص الأسرار وتبسيط العلاقة مع الباحثين. لم تسم CISA المتعاقد، ولم تنشر المستودع المكشوف، ولم تكشف مدة ظهور المفاتيح، ولم تدرج صلاحيات AWS الدقيقة، ولم تصدر تحققا مستقلا من نتائج مراجعة السجلات.

شارك هذا المقال
inXf

مقالات ذات صلة

المزيد
ترجمة IPA لأهداف CISA الأمنية تجعل البنية التحتية اليابانية أمام اختبار ضوابط أساسية
الأمن السيبراني

ترجمة IPA لأهداف CISA الأمنية تجعل البنية التحتية اليابانية أمام اختبار ضوابط أساسية

نشرت وكالة ترويج تكنولوجيا المعلومات اليابانية ترجمة يابانية لأهداف الأداء السيبراني العابرة للقطاعات من CISA، الإصدار 2.0، لمشغلي البنية التحتية الحيوية المحليين. يغطي الإرشاد بيئات تقنية المعلومات والتقنية التشغيلية، ويربط الأهداف بإطار NIST CSF 2.0، ويعرض الضوابط كممارسات دنيا لا كبرنامج أمن سيبراني كامل. الاختبار العملي هو ما إذا كان مالكو الأصول سيستخدمون ورقة العمل لترتيب الفجوات حسب التكلفة والتعقيد والأثر ثم مراجعة التقدم بعد 12 شهراً.

تحذير CISA بشأن WebLogic يحول تأخر تصحيحات Oracle إلى اختبار تعرض
الأمن السيبراني

تحذير CISA بشأن WebLogic يحول تأخر تصحيحات Oracle إلى اختبار تعرض

أمرت CISA الوكالات الفيدرالية الأمريكية بتأمين أنظمة Oracle WebLogic Server المتأثرة بالثغرة CVE-2024-21182 بعد رصد استغلال نشط. ترصد Shodan أكثر من 1,592 خادماً مكشوفاً ومعرضاً للثغرة، منها 961 تعمل بالإصدار 12.2.1.4.0 و631 تعمل بالإصدار 14.1.1.0.0. الاختبار الفوري هو ما إذا كانت الجهات العامة والخاصة ستطبق إصلاحات Oracle أو تزيل الأنظمة المكشوفة عندما لا تتوفر وسائل تخفيف.

اختراق Injective SDK على npm يكشف خطر سرقة مفاتيح المحافظ
الأمن السيبراني

اختراق Injective SDK على npm يكشف خطر سرقة مفاتيح المحافظ

قالت Socket وOx Security وStepSecurity إنها رصدت شيفرة لسرقة مفاتيح المحافظ في حزمة @injectivelabs/sdk-ts على npm بالإصدار 1.20.21 بعد اختراق حساب مساهم في Injective Labs. وقالت Socket إن الإصدار الخبيث نزل 310 مرات قبل وضع علامة deprecation عليه، بينما أحصت Ox Security 87 اعتمادا مباشرا ووصفت عدد تنزيلات تراكميا من ست خانات عبر الحزم المعتمدة.

Sysdig تقول إن برمجية الفدية بالذكاء الاصطناعي احتاجت إلى إعداد بشري
الأمن السيبراني

Sysdig تقول إن برمجية الفدية بالذكاء الاصطناعي احتاجت إلى إعداد بشري

وصفت Sysdig عملية JadePuffer بأنها برمجية فدية وكيلة، لكن Michael Clark قال إن إنسانا اختار الضحية وجهز البنية وقدم بيانات اعتماد قاعدة البيانات قبل أن ينفذ وكيل الذكاء الاصطناعي الهجوم.

Socket ترصد 108 حزمة خبيثة في هجوم PolinRider على سلسلة التوريد
الأمن السيبراني

Socket ترصد 108 حزمة خبيثة في هجوم PolinRider على سلسلة التوريد

قالت Socket إنها رصدت 162 إصدارا خبيثا عبر 108 حزمة في حملة PolinRider على سلسلة التوريد. ويسمي التقرير تعرض Go وPackagist وامتداد Chrome لكنه لا يحدد الشركات الضحية.

ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح
الأمن السيبراني

ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح

نشرت Cisco إرشادات للإصدارات المصححة الخاصة بثغرة حرجة في Unified Communications Manager يمكن أن تتيح للمهاجمين الحصول على صلاحيات الجذر عندما تكون WebDialer مفعلة. يدرك فريق Cisco PSIRT وجود كود إثبات مفهوم عام للثغرة CVE-2026-20230، لكنه لم يجد دليلاً على استغلال نشط أو استهداف. الاختبار الفوري هو ما إذا كان المسؤولون سيصححون Unified CM أو يعطلون WebDialer قبل أن يتحول كود إثبات المفهوم إلى تعرض أوسع.

التالي

المزيد من الأخبار

كل الأخبار
Sunrun تخطط لتجربة حوسبة ذكاء اصطناعي منزلية من دون تسمية المشترينالسحابة ومراكز البيانات11 يوليو 2026Sunrun تخطط لتجربة حوسبة ذكاء اصطناعي منزلية من دون تسمية المشترينتختبر Sunrun عقد حوسبة ذكاء اصطناعي موزعة في منازل مزودة بأنظمة الطاقة الشمسية والبطاريات التابعة لها، مستندة إلى قاعدة عملاء تتجاوز 1.1 million كقاعدة نشر. وقالت الشركة إن أصحاب المنازل سيحصلون على تعويض، لكنها لم تسم المشترين المؤسسيين أو أسعار الاستضافة أو عدد العقد أو مواقع التجربة أو الإيرادات المقاسة.GSA تحصي 32 شراكة أفريقية للاتصال الفضائي المباشر قبل موجة الإطلاقالاتصالات والربط الشبكي11 يوليو 2026GSA تحصي 32 شراكة أفريقية للاتصال الفضائي المباشر قبل موجة الإطلاقتقول GSA إن مشغلين أفارقة أعلنوا 32 شراكة لخدمات satellite direct-to-device مع امتداد إطلاق D2D إلى 18 دولة، لكن مواعيد الإطلاق والتعرفات ودعم الهواتف وشروط التجوال لا تزال غير معلنة.دعوى Apple تتهم OpenAI باستخدام أسرار تجارية لدفع مشروع الأجهزةرأس المال والسياسات11 يوليو 2026دعوى Apple تتهم OpenAI باستخدام أسرار تجارية لدفع مشروع الأجهزةتزعم Apple أن OpenAI استخدمت موظفين سابقين في Apple ومواد سرية لدعم مشروع أجهزة، بينما تقول OpenAI إنها لا تهتم بالأسرار التجارية للشركات الأخرى.DEWA تطلق ذراعا دولية للمرافق من دون تسمية أول المشاريعالاقتصاد11 يوليو 2026DEWA تطلق ذراعا دولية للمرافق من دون تسمية أول المشاريعأطلقت DEWA شركة DEWA International كشركة تابعة مملوكة بالكامل لتطوير بنية تحتية للطاقة والمياه في الخارج. واستندت الهيئة إلى إيرادات بلغت AED32.8 billion في 2025 وصافي ربح قدره AED9.06 billion، لكنها لم تسم أول الدول أو الشركاء أو العقود أو قيم الاستثمار أو أهداف القدرة.e& تبيع حصة Vodafone مقابل $5.95 billion من دون تحديد استخدام السيولةرأس المال والسياسات11 يوليو 2026e& تبيع حصة Vodafone مقابل $5.95 billion من دون تحديد استخدام السيولةوافقت e& على بيع كامل حصتها البالغة 16.21 per cent في Vodafone إلى Vega مقابل $5.95 billion، منهية استثمارها المرتبط بمجلس إدارة شركة الاتصالات البريطانية. وتتوقع الشركة الإماراتية عائدا نقديا صافيا يقارب Dh4.7 billion، لكنها لم تسم المؤسسات التي ستحتفظ بالأسهم قبل الإتمام أو استخداما محددا للعائدات.North Carolina تلغي إعفاء كهرباء مراكز البيانات مع نمو أحمال الذكاء الاصطناعيالسحابة ومراكز البيانات11 يوليو 2026North Carolina تلغي إعفاء كهرباء مراكز البيانات مع نمو أحمال الذكاء الاصطناعيألغت North Carolina إعفاء ضريبة المبيعات على كهرباء مراكز البيانات مع إبقاء حوافز المعدات. وقالت North Carolina General Assembly Fiscal Research Division إن الإلغاء سيضيف $21.4 million من الإيرادات في fiscal year 2026-27، بينما تبقى قواعد المرافق للأحمال الكبيرة دون حسم.رقاقة SK hynix للذكاء الاصطناعي تعرض 21.3 TOPS/W وتترك فجوة في الإنتاجيةالرقائق وأشباه الموصلات11 يوليو 2026رقاقة SK hynix للذكاء الاصطناعي تعرض 21.3 TOPS/W وتترك فجوة في الإنتاجيةطورت SK hynix وTetraMem وباحثون من USC رقاقة in-memory computing قائمة على memristor بدقة 65 nm للذكاء الاصطناعي الطرفي. وأدرجت الورقة 21.3 TOPS/W عند 100 MHz، لكن العرض ترك أربع وحدات من أصل 10 وحدات NPU دون تشغيل ولم يكشف إنتاجية الرقاقة الكاملة عند الإشباع.Metaplanet تدرس سندات رقمية مدعومة بالبيتكوين مع JPYC وProgmatالتقنية المالية والمدفوعات الرقمية11 يوليو 2026Metaplanet تدرس سندات رقمية مدعومة بالبيتكوين مع JPYC وProgmatتدرس Metaplanet منتجات ائتمان رقمية مدعومة بالبيتكوين مع JPYC وProgmat وشركتها التابعة للأوراق المالية ضمن Project Nova. وربطت الشركة العمل باستحواذها على Siiibo Securities بقيمة JPY 2.1 billion، لكنها قالت إنه لم يتخذ قرار بالإصدار وإن خزينة 43,000 BTC ليست مرهونة.صكوك Burjeel تجذب دفتر أوامر بقيمة $1.6 billion فيما تغطي العائدات التوسع والمشاريع الرقميةرأس المال والسياسات10 يوليو 2026صكوك Burjeel تجذب دفتر أوامر بقيمة $1.6 billion فيما تغطي العائدات التوسع والمشاريع الرقميةأدرجت Burjeel Holdings صكوكا بقيمة $500 million في London Stock Exchange بعد دفتر أوامر بقيمة $1.6 billion. وقالت الشركة إن العائدات ستعيد تمويل الدين وتدعم التوسع والتحول الرقمي وأعمال الرعاية الصحية المدعومة بالذكاء الاصطناعي، لكنها لم تسم ميزانيات المشاريع أو الموردين أو مواعيد النشر.IBM Bob تضيف ضوابط multi-agent AI لتحديث البرمجيات القديمةالذكاء الاصطناعي10 يوليو 2026IBM Bob تضيف ضوابط multi-agent AI لتحديث البرمجيات القديمةوسعت IBM منصة Bob بتنسيق multi-agent، وتحليلات تكلفة Bobalytics، ومسارات عمل مميزة لبيئات IBM Z وIBM i وJava، بينما تفتقر ادعاءات أداء العملاء إلى تفاصيل معيارية مستقلة.إدراج SK Hynix في Nasdaq يجمع $26.5 billion لقدرات ذاكرة الذكاء الاصطناعيالرقائق وأشباه الموصلات10 يوليو 2026إدراج SK Hynix في Nasdaq يجمع $26.5 billion لقدرات ذاكرة الذكاء الاصطناعيقالت Tech Wire Asia إن SK Hynix تجمع نحو $26.5 billion عبر إدراج في Nasdaq لتمويل مصانع كورية وقدرات تغليف، مع الإشارة أيضا إلى ارتفاع السهم 200% وخطر دورة الذاكرة.Microsoft تقول إن مراكز بيانات AI دفعت الانبعاثات للارتفاع 25%السحابة ومراكز البيانات10 يوليو 2026Microsoft تقول إن مراكز بيانات AI دفعت الانبعاثات للارتفاع 25%قالت Microsoft إن إجمالي انبعاثات Scope 1 وScope 2 وScope 3 ارتفع 25% على أساس سنوي في FY25، مدفوعا أساسا بتوسع بنية مراكز البيانات. ووازنت الشركة 100% من استهلاكها السنوي العالمي للكهرباء بطاقة متجددة، لكنها قالت إن طلب بنية AI التحتية على الطاقة والمياه والأراضي والمواد لا يزال يسبق حلول الاستدامة.