الباحث الأمني “محمد عبد الباسط” يكتشف ثغرة بأحد المواقع التابعة لمنظمة الأمم المتحدة

نشر الباحث الأمني “محمد عبد الباسط” مقالة على المدوّنة الرسمية لشركة Seekurity يوضح فيها اكتشافه لثغرة بأحد المواقع التابعة لمنظمة الأمم المتحدة و بالتحديد الموقع الخاص بجنوب السودان. و قد أوضح الباحث الأمني المصري أن الموقع المذكور لا يستخدم تشفير HSTS فضلا عن عدم حماية المجلدات بالشكل المطلوب.

الفريق الأمني التابع لمنظمة الأمم المتحدة لا يردّ على رسالة الباحث الأمني

و يضيف “محمد عبد الباسط” معلومة مهمة و هي عدم رد الفريق الأمني التابع لمنظمة الأمم المتحدة بعد مرور 48 يوما من يوم ارسال التقرير الأمني مع طريقة الأستغلال (PoC) على البريد الالكتروني infosec@un.org و هذا يخول له قانونا نشر الثغرة الى العموم!

في الفيديو التالي يمكنكم مشاهدة طريقة استغلال الثغرة المكتشفة (لا تزال سارية المفعول الى غاية وقت كتابة المقال).

نصيحة الى مستخدمي “ووردبريس”

في نهاية مقالته وجّه مؤسس شركة Seekurity نصائحا الى مستخدمي نظام “ووردبريس” و هي:

• تنصيب تحديثات “ووردبريس” أوّلا بأوّل

• الحد من صلاحيات الوصول لمجلد “wp-content”

• استخدام الاضافات التي تزيد من مستوى حماية “ووردبريس”

• التأكدّ من الاضافات و القوالب المنصّبة و تحديثها الى آخر إصدار

• عدم ترك الملفات الحساسة على استضافة الموقع

المصدر