تعد ثغرات الذكاء الاصطناعي من أبرز التحديات التي تواجه الشركات اليوم، حيث يمكن أن تؤدي إلى عواقب وخيمة إذا لم يتم التعامل معها بشكل صحيح. في هذا المقال، نستعرض واحدة من أخطر الثغرات التي تم اكتشافها في منصة ServiceNow.
تسببت مشكلات المصادقة في ServiceNow في فتح الباب أمام المهاجمين العشوائيين للحصول على السيطرة الكاملة على المنصة والوصول إلى الأنظمة المختلفة المتصلة بها.
تعتبر ServiceNow شركة ضمن قائمة فورتشن 500، حيث تُعد منصة لإدارة خدمات تكنولوجيا المعلومات لأكثر من 85% من الشركات المدرجة في نفس القائمة. مما يجعلها خطرًا كبيرًا على سلسلة التوريد في القطاع التجاري الأمريكي. بالإضافة إلى ذلك، فإن ServiceNow متكاملة بشكل عميق في البنية التحتية لتكنولوجيا المعلومات لعملائها، أكثر من معظم البائعين: تمتد خدمات ServiceNow عبر الموارد البشرية، وخدمة العملاء، والأمن، والأنظمة الأخرى التي تُبقي الشركة تعمل. بالنسبة للمهاجم، تعتبر هذه المنصة نقطة انطلاق مثالية للحركة الجانبية وكنزًا من البيانات التشغيلية الحساسة وبيانات العملاء.
قد يساعد هذا السياق في تفسير سبب تصنيف آرون كوستيلو، رئيس قسم أبحاث الأمن في AppOmni، هذه الثغرة على أنها “أكثر ثغرات الذكاء الاصطناعي خطورة تم اكتشافها حتى الآن”. مع وجود تفاصيل قليلة حول إعداد ServiceNow الخاص بالشركة، اكتشف أنه يمكن لأي مهاجم الدخول، واستغلال الوظائف الأصلية للذكاء الاصطناعي في المنصة، وتنفيذ السيطرة الكاملة على المنصة.
تم إصلاح المشكلة منذ ذلك الحين، وأخبر متحدث باسم ServiceNow موقع Dark Reading أن الشركة لم تشهد أي دليل على الاستغلال الخبيث، ولكن هذا لا يعني أن المهاجمين لم يستغلوا ذلك قبل الإصلاح؛ يمكن أن يكون المهاجمون مختبئين داخل البنية التحتية، لذا سيكون من الأفضل للشركات المتأثرة إجراء فحص شامل لصحة وأمان النظام السيبراني.
مشكلات المصادقة في دردشة ServiceNow
قبل كل هذه التعقيدات المتعلقة بالذكاء الاصطناعي، أنشأت ServiceNow دردشة أساسية، تُعرف ببساطة باسم “الوكيل الافتراضي”. تتيح للمستخدمين أداء المهام وحل المشكلات بلغة طبيعية. بشكل ملائم، يمكن للمستخدمين التفاعل مع الوكيل الافتراضي ليس فقط من خلال واجهة ServiceNow، ولكن أيضًا من منصات متصلة مثل Slack، ويمكن لمستخدمي Slack الدردشة مع الوكيل الافتراضي من هناك.
كانت الاكتشافات الرئيسية الأولى لكوستيلو هي أن ServiceNow أرسلت نفس بيانات الاعتماد إلى كل خدمة طرف ثالث مصادقة على واجهة برمجة التطبيقات للوكيل الافتراضي. كانت سلسلة بسيطة وواضحة – “servicenowexternalagent” – مما سمح له بالاتصال بـ ServiceNow كما تفعل تطبيقات الدردشة الطرفية المشروعة.
لكن للقيام بأي شيء ذي أهمية مع الوكيل الافتراضي، كان عليه انتحال شخصية مستخدم معين. كانت الاكتشافات الثانية لكوستيلو مريحة للغاية. اكتشف أنه بالنسبة لـ ServiceNow، كل ما يحتاجه المستخدم لإثبات هويته هو عنوان بريده الإلكتروني – لم يكن مطلوبًا أي كلمة مرور، ناهيك عن المصادقة متعددة العوامل (MFA).
في الممارسة العملية، يعني ذلك أن أي مهاجم يمكنه استغلال حساب مستخدم مرتبط بـ ServiceNow، طالما عرف بيانات الاعتماد العامة، وعنوان البريد الإلكتروني للمستخدم، وبعض التفاصيل الأخرى حول إعداد ServiceNow الخاص بالشركة المستهدفة.
“بالطبع، ستحتاج إلى معرفة عنوان URL الخاص بمستأجر ServiceNow الخاص بهم،” يوضح كوستيلو، لكنه يشير إلى أن “من السهل جدًا العثور عليه، حتى من خلال بحث بسيط على Google أو مسح النطاقات الفرعية. هناك الكثير من الأدوات عبر الإنترنت التي ستخبرني حرفيًا، في بضع نقرات، بكل نطاق يتعلق بـ ServiceNow، ونتيجة لذلك، كل عميل لـ ServiceNow. العناصر الأخرى التي تشكل جزءًا من الاستغلال – مثل واجهة برمجة التطبيقات التي أرسل إليها رمز الاستغلال – هي نفسها عبر كل حالة ServiceNow.”
استغلال قدرات الذكاء الاصطناعي في ServiceNow
يمكن للمهاجم استخدام هذه المعلومات لإنشاء تذاكر وإدارة سير العمل، لكن المخاطر الآن أعلى، لأن ServiceNow قررت ترقية وكيلها الافتراضي: يمكنه الآن أيضًا التفاعل مع تقنية الذكاء الاصطناعي الجديدة “Now Assist”.
في هذا السياق، تأخذ اكتشافات كوستيلو أهمية أكبر. يمكن للمهاجم الذي لديه القليل من المعلومات مثل عنوان البريد الإلكتروني أن يستخدم وكلاء مستقلين غير ذكيين ولكنهم أقوياء. على سبيل المثال، انتحل كوستيلو شخصية مستخدم بمستوى إداري واستخدم الوكيل الافتراضي للتفاعل مع أحد الوكلاء المسبقين في ServiceNow. يتيح هذا الوكيل للمستخدمين إنشاء بيانات جديدة في أي مكان في ServiceNow. استخدمه كوستيلو لإنشاء حساب جديد له في النظام، مع صلاحيات إدارية؛ ومن الواضح أن كوستيلو حصل الآن على وصول إداري دائم إلى واحدة من أكثر المنصات حساسية التي تديرها أي شركة.
“إنه ليس مجرد اختراق للمنصة وما تحتويه المنصة – قد تكون هناك بيانات من أنظمة أخرى يتم وضعها على تلك المنصة،” يشير، مضيفًا، “إذا كنت أي منظمة ذات حجم معقول، فإنك بالتأكيد ستجد ServiceNow متصلة بجميع أنواع الأنظمة الأخرى. لذا، مع هذا الاستغلال، يمكنك أيضًا … الانتقال إلى Salesforce، أو القفز إلى Microsoft، أو أي مكان آخر.”
أبلغت AppOmni عن اكتشافاتها إلى ServiceNow في 23 أكتوبر. بحلول 30 أكتوبر، كان البائع قد عالج نقطتين ضعف رئيسيتين في سلسلة الاستغلال: قام بتدوير بيانات الاعتماد العامة “servicenowexternalagent”، وألغى الوكيل الذكي الذي استخدمه كوستيلو لإنشاء حسابه الإداري.
بدلاً من الاعتماد فقط على التصحيحات عند ظهورها، يقول كوستيلو، “يحتاج المنظمات إلى التأكد من أن الوكلاء الذكيين ليس لديهم القدرة على تنفيذ إجراءات قوية، مثل إنشاء بيانات في أي مكان على المنصة. يجب أن تكون الوكلاء الذكيين محددين جدًا من حيث ما يمكنهم القيام به. أوصي بشدة بأن تأخذ المنظمات في الاعتبار وتنفيذ عملية مراجعة، لضمان رسم خريطة لجميع المخاطر المحتملة في حال حدوث شيء خاطئ.”
يشير إلى أنه “قبل إدخال الشيفرة في منتج، يتم مراجعتها. يجب أن ينطبق نفس التفكير على الوكلاء الذكيين.”
في ختام هذا المقال، من الضروري أن تتخذ الشركات خطوات استباقية لضمان أمان أنظمتها، خاصة مع تزايد استخدام الذكاء الاصطناعي في العمليات اليومية.
