تسلّل صناعي: ثغرات مترابطة تكشف المصانع المُدارة عبر CODESYS لعمليات استيلاء خفية

تخيّل أرضية مصنع تعمل فيها الآلات بدقة، وتفتح الصمامات وتغلق في الوقت المناسب، ولا تفوّت الأذرع الروبوتية إيقاعًا - أو هكذا يبدو. تحت هذا الهدوء المُنسّق، كان تهديد صامت يتربّص حتى وقت قريب: ثلاث ثغرات في بيئة تشغيل CODESYS Control واسعة الاستخدام، كُشف عنها الآن وتمت معالجتها، كان يمكن أن تتيح للمهاجمين السيطرة على أنظمة صناعية حرجة بسهولة مُرعبة.

تشريح هجوم صناعي خفي

أثار اكتشاف Nozomi Networks Labs الأخير موجات في مجتمع الأمن السيبراني الصناعي. فقد وجد باحثوهم أنه عبر ربط ثلاث عيوب مُحددة حديثًا بذكاء - CVE-2025-41658 وCVE-2025-41659 وCVE-2025-41660 - يمكن لمهاجم يمتلك حتى أقل قدر من الصلاحيات أن يستبدل شيفرة الأتمتة الموثوقة بنسخة خبيثة، مزروعًا فعليًا بابًا خلفيًا يمنحه تحكمًا إداريًا بكل من الجهاز الصناعي ونظام التشغيل الأساسي تحته.

يُعد CODESYS عمودًا فقريًا للأتمتة في قطاعات تمتد من الطاقة إلى التصنيع، إذ يتيح للحواسيب العادية أن تعمل كعقول للعمليات الصناعية. وقد استهدفت الثغرات التي كُشف عنها حديثًا قلب هذه العمليات ذاته، ما أتاح هجومًا متعدد الخطوات:

1. التقاط بيانات الاعتماد: يحصل المهاجم على بيانات اعتماد بمستوى الخدمة - عبر كلمات مرور ضعيفة، أو محطات عمل مخترقة، أو باستغلال CVE-2025-41658 لاستخراج تجزئات كلمات المرور.
2. تنزيل التطبيق: مع توفر الوصول، يقوم بتنزيل نسخة احتياطية من تطبيق الـPLC، المخزنة كملف ZIP مع تحقق سلامة ضعيف باستخدام CRC32.
3. تجاوز التشفير: باستخدام CVE-2025-41659، يستخرج المهاجمون مفاتيح التشفير، متجاوزين وسائل الحماية مثل توقيع الشيفرة أو التشفير.
4. حقن خبيث: يتم تعديل الملف الثنائي - مثلًا بإضافة باب خلفي بمستوى الجذر - ثم يُعاد حزمه ليبدو شرعيًا.
5. استعادة خفية: بالاستفادة من CVE-2025-41660، يُرفع التطبيق المُزوّر مجددًا إلى الجهاز.
6. التنفيذ: ينشط الباب الخلفي بمجرد إعادة تشغيل الجهاز، تاركًا المهاجمين مع تحكم غير مقيّد.

التداعيات خطيرة: إذ يمكن للمهاجمين التلاعب بالعمليات الصناعية، وتزوير بيانات المستشعرات، وتجاوز ضوابط السلامة، أو حتى تخريب المعدات - مخاطر تنتقل من العالم الرقمي إلى العالم المادي.

ولحسن الحظ، وبعد الإفصاح المسؤول، قامت CODESYS بسرعة بترقيع الثغرات وفرضت توقيع الشيفرة لجميع تطبيقات PLC. ويحث اختصاصيو الأمن الآن المؤسسات على التحديث دون تأخير، وتشديد بيانات الاعتماد، وتقسيم شبكات التشغيل، ومراقبة النشاط غير المعتاد لمنع الاستغلال.

الخلاصة: رهانات الأمن الصناعي العالية

هذا الحادث تذكير صارخ بأن تكنولوجيا التشغيل هدف رئيسي لهجمات سيبرانية تزداد تعقيدًا. ومع تقارب العالمين الرقمي والمادي، فإن صمود مصانعنا ومحطات الطاقة وبنيتنا التحتية يعتمد ليس فقط على تحديثات البرمجيات - بل على ثقافة يقظة ودفاع استباقي.

WIKICROOK

• Soft PLC: الـSoft PLC هو متحكم برمجي يحاكي وحدات PLC العتادية، يعمل على حواسيب قياسية لأتمتة العمليات الصناعية وتعزيز المرونة.
• CRC32: CRC32 طريقة تحقق سريعة لاكتشاف أخطاء الملفات العرضية، لكنها ليست آمنة ضد العبث المتعمد أو الهجمات.
• Root Shell: يمنح Root Shell المستخدمين تحكمًا إداريًا كاملًا على أنظمة Unix أو Linux، ما يسمح بتنفيذ أوامر غير مقيّدة وتعديلات على النظام. استخدم بحذر.
• Code Signing: توقيع الشيفرة هو عملية توقيع البرمجيات رقميًا لإثبات أنها من مصدر موثوق ولم يتم العبث بها.
• Operational Technology (OT): تشمل تكنولوجيا التشغيل (OT) أنظمة الحاسوب التي تتحكم بالمعدات والعمليات الصناعية، وغالبًا ما يجعلها ذلك أكثر عرضة من أنظمة تقنية المعلومات التقليدية.