مراجعة ثغرة استغلال Docusign API [بالإضافة إلى 5 دروس أمنية]

هذه المدونة التي كتبتها محللة CybelAngel، تانيا أبو لطيف، هي تحليل لاستغلال منصة التوقيع الإلكتروني، واجهة برمجة تطبيقات Docusign، لتوزيع فواتير احتيالية. هل أنت مهتم بقراءة المزيد من محتوانا التحقيقي؟ يمكنك العثور على مدونات الملاحظات التحقيقية عن التهديدات هنا.

لماذا تستخدم الجهات الخبيثة منصات موثوقة مثل Docusign؟

دوكي ساين هي شركة حائزة على جوائز ورائدة في مجال التوقيع الإلكتروني والإدارة الرقمية الذكية، ومقرها في وادي السيليكون، سان فرانسيسكو.

تركز الشركة، التي تأسست قبل أكثر من عقدين، على تبسيط إدارة العقود من خلال منصتها الذكية لإدارة الاتفاقيات. يمكن للمستخدمين من قطاعات العقارات والتمويل والحكومة توقيع المستندات إلكترونيًا من خلال عملية سريعة: التحميل، وضع الحقول، والإرسال. تتكامل Docusign أيضًا مع مجموعة تقنية متكاملة، بما في ذلك Microsoft و Salesforce، مما يجعلها خيارًا شائعًا لملايين العملاء.

مبدأ الأداة هو أن تخزينها السحابي الآمن يضمن أن وثائق العملاء آمنة وسهلة الوصول إليها، ويتضمن ذلك سياسة أمنية شاملة. وهي تشمل، على سبيل المثال، أذونات للمستخدم النهائي مثل المصادقة متعددة العوامل، والمجموع الاختباري الرقمي للتحقق من سلامة المستند، وتشفير على مستوى التطبيق باستخدام تقنية AES 256 بت. بالإضافة إلى ذلك، توفر المنصة خيارات مصادقة للموقع وتنبيهات لتحديثات حالة المستند لزيادة راحة البال.

على الرغم من وجود دليل قاطع الأمن أولاً عقلية مدمجة في وظائف منصة Docusign، كانت لا يزال مستهدف من قبل جهات فاعلة خبيثة.

بعد أربعة أشهر من هجوم التصيد الاحتيالي المرتفع هذا،, دعنا نستكشف لماذا وكيف حدث هذا, وما يمكن لفريقك الاستفادة منه

ملخص حملة استغلال الثقة في واجهة برمجة التطبيقات في Docusign

سياق الحادث

في 5 نوفمبر 2024، تم الكشف عن هجوم سيبراني استهدف واجهة برمجة تطبيقات Docusign بواسطة والارم سيكيوريتي, ، كاشفةً عن طريقة متطورة استخدمها مجرمو الإنترنت لاستغلال المنصة لأغراض احتيالية.

استغل هؤلاء المهاجمون النظام الموثوق به في Docusign لإرسال فواتير مزيفة بدت شرعية، مما يشكل تهديدًا كبيرًا للمؤسسات التي تعتمد على المنصة لإدارة المستندات والتوقيعات الإلكترونية الآمنة.

استخدم المهاجمون حسابات Docusign المدفوعة للوصول إلى واجهة برمجة التطبيقات (API)، مما سمح لهم بأتمتة وإرسال فواتير وهمية بدت مشروعة. يسلط هذا النوع من إساءة استخدام واجهة برمجة التطبيقات الضوء على استغلال ثقة التطبيق وليس قاصرًا على استغلال ثغرات النظام فقط.

استغل مجرمو الإنترنت حسابات Docusign الشرعية لتوزيع فواتير احتيالية، متجاوزين الدفاعات التقليدية ضد البريد العشوائي والتصيد الاحتيالي.

إليك ملخص سريع لكيفية تنفيذهم لهذا الهجوم:

• استغلال لأغراض خبيثة واجهة برمجة تطبيقات Docusign
• استخدام مشروع, حسابات Docusign مدفوعة من قبل المهاجمين
• إنشاء فواتير احتيالية التي حاكت مصادر موثوقة
• إدراج منتج واقعي التسعير والرسوم الملفقة
• أتمتة الهجوم معالجة عبر تكامل واجهة برمجة التطبيقات
• صعوبة على المستلمين للتمييز بين الطلبات الاحتيالية والطلبات الأصلية
• تجاوز البريد الإلكتروني التقليدي للأمان فلاتر بسبب استخدام منصة Docusign الشرعية

ما كانت السمات المميزة لحملة التصيد الاحتيالي المتقدمة هذه؟

خلال هذا الحادث، استغل القراصنة منصة “مغلفات: إنشاء واجهة برمجة تطبيقات”لتنظيم حملة تصيد احتيالي متطورة تستهدف مستخدمي الشركات. ما شكّل مصداقية هذا الهجوم هو الطريقة التي أنشأ بها المهاجمون شرعي, حسابات Docusign المدفوعة, ، مما يسمح لهم بالتلاعب بالقوالب واستخدام واجهة برمجة التطبيقات مباشرة لإرسال رسائل بريد إلكتروني آلية بدت أصلية وقياسية.

احتوت رسائل البريد الإلكتروني الاحتيالية هذه على فواتير مزيفة تحاكي طلبات من علامات تجارية معروفة، مثل Norton Antivirus.

تضمنت الفواتير أسعار المنتجات الدقيقة، ورسومًا إضافية مثل رسوم التنشيط، وأحيانًا تعليمات تحويل مباشر. من خلال إرسال هذه رسائل البريد الإلكتروني عبر منصة Docusign، تمكن المهاجمون من تجاوز إجراءات أمن البريد الإلكتروني التقليدية وفلاتر البريد العشوائي.

كان هدف الحملة هو خداع المستخدمين لوضع توقيعاتهم الإلكترونية على هذه المستندات. يمكن استخدام هذه التوقيعات بعد ذلك لطلب مدفوعات غير مصرح بها من المنظمات أو إداراتها المالية. طريقة الهجوم هذه مستمرة منذ عدة أشهر، مع زيادة ملحوظة في تقارير المستخدمين خلال الأشهر الخمسة الماضية.

على سبيل المثال، تضمنت الفواتير الاحتيالية العناصر التالية:

• شعارات الشركات للعلامات التجارية المعروفة
• تسعير المنتجات بدقة
• رسوم إضافية (على سبيل المثال، $50 رسوم تفعيل)
• تعليمات سلك مباشر أو أوامر الشراء
• طلبات التوقيع الإلكتروني

يكمن نجاح الهجوم في تركيزه الوحيد لتجاوز إجراءات الأمان التقليدية. بدون روابط أو مرفقات خبيثة، كما هو الحال في محاولات التصيد الاحتيالي الكلاسيكية، بدت هذه رسائل البريد الإلكتروني الاحتيالية أصلية. توضح حالة الاستخدام هذه الحاجة إلى اليقظة والتدقيق الدقيق - فتقنيات التصيد المتقدمة، والتصيد عبر الرسائل القصيرة، والتصيد الصوتي، وما إلى ذلك، كلها أمثلة واقعية على ضرورة قيام مديري أمن المعلومات وفرق مركز عمليات الأمان بإعطاء الأولوية لسياسات شاملة للثقة الصفرية في مساحات العمل، حتى بين الأدوات الموثوق بها.

نصائح للمطورين

يمكن للمطورين تعزيز أمان واجهات برمجة التطبيقات الخاصة بهم من خلال تطبيق نهج متعدد الطبقات.

ابدأ بتوظيف اكتشاف مستمر لواجهات برمجة التطبيقات لتحديد جميع الواجهات النشطة وفهرستها، بما في ذلك واجهات برمجة التطبيقات المخفية. ثم استثمر الوقت والتدريب في تعزيز آليات المصادقة القوية مثل OAuth 2.0 أو JWT. يجب عليك أيضًا تنفيذ التحقق الصارم من المدخلات لمنع هجمات الحقن.

هنا سير عمل أمني يجب أخذه في الاعتبار أثناء تبسيط كل شيء بدءًا من طلبات واجهة برمجة التطبيقات (API) وحتى إدارة خطافات الويب (webhooks):

1. قم بتشفير جميع حركة المرور باستخدام TLS، خاصة لواجهات برمجة تطبيقات REST، للحماية من هجمات الرجل في المنتصف (بما في ذلك حركة المرور المتعلقة بنماذج الويب، PowerForms، وعمليات التوثيق).
2. التزم بمبدأ الحد الأدنى من الامتيازات عند تصميم ضوابط الوصول، واستخدم تحديد المعدل للتخفيف من هجمات DDoS (اطلع على آخر ما لدينا دليل هجمات الحرمان من الخدمة الموزعة (للتحديث). طبق هذا المبدأ على حزم تطوير البرامج (SDK) وأي عمليات تكامل مخصصة. لدى CNIL بعض النصائح الأمنية الرائعة هنا.
3. تنفيذ بوابات API لمركزة ضوابط الأمان، مما يتيح إدارة أسهل للسياسات والتشفير والحماية ضد الثغرات الشائعة.
4. قم بمراجعة نقاط نهاية واجهة برمجة التطبيقات الخاصة بك بانتظام بحثًا عن أي تكوينات خاطئة محتملة أو بيانات حساسة مكشوفة.
5. وأخيرًا، قم بدمج فحوصات الأمان في مسار CI/CD الخاص بك لاكتشاف الثغرات الأمنية مبكرًا في عملية التطوير وفرض أفضل الممارسات في مساحات العمل الخاصة بك. إذا رأيت أي شيء غير عادي في المستقبل، يمكنك أيضًا الإبلاغ عن أي مشكلات غير عادية لمطوري Docusign. هنا.

إنهاء

من المتوقع أن تنمو تهديدات واجهات برمجة التطبيقات (API) من عام 2024 إلى عام 2025، مدفوعة بالاستخدام المتزايد، والثغرات الأمنية الناشئة، وأدوات الأتمتة المتزايدة مثل "البوتات كخدمة" (Bots-as-a-Service) التي يستخدمها مجرمو الإنترنت. ستؤدي هذه العوامل إلى توسيع نطاق الهجوم بشكل كبير وزيادة خطر الاستغلال.

سايبل أنجل الكشف عن تهديدات واجهة برمجة التطبيقات توفر الميزة رؤية شاملة للمشهد الخارجي لواجهات برمجة التطبيقات للمؤسسة. يستخدم هذا الحل تقنيات فحص غير تدخلية مدعومة بتحليلات مدفوعة بالتعلم الآلي لتحديد واجهات برمجة التطبيقات الضعيفة وذات التكوين الخاطئ. يسمح للعملاء بتشغيل فحوصات DAST عند الطلب على واجهات برمجة التطبيقات REST و GraphQL للكشف عن التهديدات المحتملة، مما يجعل إساءة استخدام واجهات برمجة التطبيقات مصدر قلق أقل للشركات.

يمكنك التعمق في اكتشاف تهديدات واجهة برمجة التطبيقات الخاصة بنا دليل للحالات الاستخدام الأكثر تحديدًا للتعرض.

فهم اتجاهات تهديدات واجهة برمجة التطبيقات مع CybelAngel

جهزك وفريقك بمعلومات استخباراتية متطورة عن التهديدات لاعتراض جميع محاولات التصيد الاحتيالي المتطورة والدفاع عنها. كن أكثر استعدادًا لمكافحة هجمات واجهات برمجة التطبيقات من خلال التواصل مع فريقنا لمعرفة كيف يمكننا المساعدة؟

إذا كنت لا ترغب في التوقف عن القراءة، فإطلع على تقريرنا عن التهديدات الخارجية لعام 2025. يقوم رئيس أمن المعلومات لدينا، تود كارول، بتحليل المد المتزايد للهجمات الاحتيالية المدعومة بالذكاء الاصطناعي، والمزيد.

عن المؤلف

تانيا ابو لطيف

أورليث هي خبيرة استراتيجية في تسويق المحتوى بين الشركات ومقرها باريس، وهي متخصصة في الأمن السيبراني والتكنولوجيا، وتتمتع بخبرة عميقة في تحسين محركات البحث، وتحسين محركات البحث، والتخطيط التحريري، وإدارة نظام إدارة المحتوى. بعد أن قادت المحتوى في شركات مثل CybelAngel و PhantomBuster، تساعد أورليث العلامات التجارية التكنولوجية على إنشاء استراتيجيات محتوى تعزز الظهور العضوي وثقة المشتري في الأسواق التنافسية.

اقرأ كل المقالات