العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

ثغرات أمنية حرجة في Azure: أدوار خاطئة التكوين وتسريب مفتاح VPN

2025-07-02
ثغرات أمنية حرجة في Azure: أدوار خاطئة التكوين وتسريب مفتاح VPN

اكتشف باحثو الأمن العديد من الأدوار المضمنة في Azure والتي تم تهيئتها بشكل خاطئ، مما يمنحها صلاحيات زائدة. بالإضافة إلى ذلك، تم اكتشاف ثغرة أمنية أخرى في واجهة برمجة تطبيقات Azure تسمح للمهاجمين بتسريب مفاتيح VPN. يؤدي هذان الأمران معًا إلى إنشاء سلسلة هجوم تتيح للمستخدم الضعيف الوصول إلى كل من أصول السحابة الداخلية والشبكات الداخلية. يقدم البحث تفاصيل حول عملية الاكتشاف، وتداعياتها، وما يمكن للمنظمات فعله للبقاء آمنة ضد هذه التهديدات وغيرها من الهجمات القائمة على الهوية. تم العثور على عشر أدوار مضمنة ذات صلاحيات زائدة، بينما تم إصلاح ثغرة تسريب مفتاح VPN من قِبل مايكروسوفت. تتضمن التوصيات مراجعة الأدوار المثيرة للمشكلة، واستخدام نطاقات محددة، وإنشاء أدوار مخصصة ذات صلاحيات دقيقة الحبيبات.

اقرأ المزيد
(www.token.security)
التكنولوجيا تسريب مفتاح VPN

ثغرة أمنية خطيرة في أداة من AWS: خطر تصعيد الامتيازات

2025-05-05
ثغرة أمنية خطيرة في أداة من AWS: خطر تصعيد الامتيازات

اكتشفت شركة Token Security للأمن السيبراني ثغرة أمنية خطيرة في أداة Account Assessment التابعة لشركة AWS. تهدف هذه الأداة إلى مراجعة الوصول عبر الحسابات، لكن تعليمات نشرها شجعت المستخدمين عن غير قصد على نشر الدور المحوري في حسابات أقل أمانًا (مثل بيئة التطوير)، مما يخلق مسارات ثقة خطرة من بيئات غير آمنة إلى بيئات حساسة للغاية (مثل بيئة الإنتاج). سمح هذا بتصعيد الامتيازات، مما يمنح المهاجمين القدرة على التحكم في مؤسسة AWS بأكملها. قامت AWS بإصلاح المشكلة في 28 يناير 2025، وقامت بتحديث الوثائق لتوصية بنشر الدور المحوري في حساب آمن بنفس مستوى حساب الإدارة. يجب على المنظمات المتأثرة التحقق من عمليات النشر الخاصة بها وإصلاحها وفقًا لذلك.

اقرأ المزيد
(www.token.security)
التكنولوجيا الوصول عبر الحسابات

تتبع ملكية الهويات غير البشرية التي تم إنشاؤها بواسطة IaC

2025-04-09
تتبع ملكية الهويات غير البشرية التي تم إنشاؤها بواسطة IaC

تتيح أدوات البنية التحتية كرمز (IaC) إنشاء العديد من الهويات غير البشرية (NHIs) بسرعة في بيئات السحابة. ومع ذلك، فإن تتبع أصحاب هذه الهويات غير البشرية التي تم إنشاؤها بواسطة IaC يمثل تحديًا كبيرًا. تستكشف هذه المدونة نهجًا قائمًا على الوسوم، حيث يتم إضافة وسوم إلى رمز Terraform لتتبع الملفات المشاركة في إنشاء الموارد، وبالتالي تحديد أصحاب NHIs. على الرغم من أن هذا النهج يواجه عقبات عملية مثل ميراث الوسوم والتوافق بين المنصات، إلا أنه يوفر حلًا محتملًا لمشاكل ملكية NHIs التي تم إنشاؤها بواسطة IaC ويساعد فرق DevOps على تتبع وإدارة هويات IaC الخاصة بهم بشكل أفضل.

اقرأ المزيد
(www.token.security)
التطوير