فشل في آليات المصادقة

مقدمة

لوحظت محاولات دخول ناجحة من مواقع جغرافية غير مألوفة، ومع ذلك أشارت السجلات إلى أن عملية المصادقة تمت “بشكل شرعي”. بتحليل مسار تسجيل الدخول، تبيّن أن مهاجمًا استطاع تجاوز المصادقة بالكامل عبر ثغرة إعادة توجيه غير محمية (Open Redirect) داخل تدفّق الدخول الموحّد (SSO).

كيف تعمل المصادقة عادة؟

تعتمد البوابة على توليد رمز جلسة مؤقت ثم إعادة المستخدم لوجهته عبر باراميتر مثل:

/redirect?next=/dashboard

كان الفحص يتحقق سطحيًا من صيغة الرابط، لكنه لم يقيّد النطاق (domain) ببياض آمن (Allowlist)، ما سمح بتمرير روابط خارجية.

بداية الاستغلال

صنع المهاجم رابطًا يصرف المستخدم إلى صفحة تصيّد تُشبه SSO الأصلي:

https://example.com/redirect?next=https://attacker.example/login

وبسبب غياب التحقّق الصارم، تم تنفيذ إعادة التوجيه، فجمع المهاجم بيانات الاعتماد ورموز الجلسات، ثم استخدمها للدخول مباشرة دون معرفة كلمة المرور الفعلية.

ما الذي حدث بعد اختطاف الجلسة؟

1. الدخول إلى حساب موظف دعم يملك صلاحيات داخلية.
2. رفع الصلاحيات إلى مستوى إداري وتعطيل بعض التنبيهات الأمنية.
3. استخدام Token Replay لتوليد جلسات جديدة بسرعة وتجاوز انتهاء الصلاحية.
4. التحرك أفقيًا للوصول إلى حسابات أخرى عبر نفس الحيلة.

مؤشرات الاكتشاف

• تعدّد عمليات إعادة التوجيه قبل إتمام المصادقة.
• جلسات قصيرة العمر تتجدد بكثافة من عناوين IP خارجية.
• زيارات متكررة لنطاق خارجي يشبه نطاق المؤسسة.

الاستجابة واحتواء الأثر

1. إبطال شامل للجلسات وإجبار جميع المستخدمين على تسجيل الدخول من جديد.
2. تعطيل مؤقت لنقطة إعادة التوجيه حتى إصلاح التحقّق.
3. تطبيق قائمة بيضاء للدومينات المسموح بها في باراميتر next أو استخدام رموز مسارات داخلية فقط.
4. فرض MFA على كل الحسابات الحساسة وتقليل زمن صلاحية الرموز.
5. إضافة قواعد في WAF وSIEM لرصد أنماط إعادة التوجيه غير الاعتيادية.

تحسينات وقائية

• استخدام قيم state وnonce غير قابلة للتنبؤ في تدفق OAuth/OIDC وربطها بالجلسة.
• اعتماد روابط داخلية فقط لوجهات ما بعد المصادقة، أو توقيع قيمة next للتحقق من سلامتها.
• تفعيل Content Security Policy وSameSite/HttpOnly/Secure للكوكيز.
• اختبارات وحدات وتكامل تغطي Negative cases لمسارات إعادة التوجيه.
• مراجعة صلاحيات الحسابات الداعمة وتطبيق مبدأ أقل امتياز.

الدروس المستفادة

• إعادة التوجيه جزء حساس من المصادقة—قيّد الوجهات بعناوين معروفة فقط.
• غياب MFA يجعل تجاوز كلمة المرور أسهل بدرجات.
• كل مدخلات المستخدم في مسار المصادقة يجب اعتبارها غير موثوقة افتراضيًا.
• الرصد السلوكي لرحلة المصادقة يكشف التفاف المهاجم مبكرًا.