نقرة واحدة، سيطرة كاملة: كيف يعرّض عارض المراقبة المعيب من IDIS شبكات ويندوز بأكملها للخطر

بدأ الأمر كنوبة عمل روتينية لمشغّل الأمن - مجرد يوم آخر يراقب بثوث الفيديو الحية عبر Cloud Manager من IDIS. لكن في ظلال الفضاء السيبراني، كان مهاجم قد نصب فخًا: رابطًا خبيثًا واحدًا. نقرة واحدة غير محسوبة، وفجأة أصبحت كل تغذية كاميرا، وكل زاوية في المبنى، وحتى حاسوب المشغّل نفسه تحت سيطرة معادية. هذا ليس افتراضًا؛ بل هو الواقع المرعب للمنظمات التي تعتمد منصة المراقبة الشائعة من IDIS، بفضل ثغرة كُشف عنها حديثًا وقابلة للاستغلال بشكل خطير.

تشريح باب خلفي في نظام مراقبة

بنت IDIS الكورية الجنوبية سمعة عالمية في أمن الفيديو المتكامل من طرف إلى طرف. لكن أبحاثًا حديثة كشفت ضعفًا صارخًا في Cloud Manager Viewer - وهو تطبيق ويندوز يتيح للمشغّلين عرض لقطات الكاميرات والبحث فيها لحظيًا من السحابة. تكمن المشكلة في كيفية تواصل العارض مع بوابة الويب وكيفية تشغيله على جهاز المستخدم.

يتحكم في العارضُ خدمةٌ محلية على ويندوز (CWGService.exe) تستمع للأوامر عبر WebSocket على حاسوب المستخدم. عندما ينقر المستخدم “Run Viewer” في لوحة تحكم IDIS على الويب، تقوم الخدمة بتشغيل العارض مع معاملات مثل رابط بث الفيديو ورمز المصادقة. والأخطر أن هذه المعاملات لا تُنقّى ولا تُتحقق منها على نحو صحيح. وبما أن العارض مبني باستخدام Chromium Embedded Framework، فإنه يقبل أعلامًا خاصة لسطر الأوامر - يمكن إساءة استخدام بعضها لإجبار التطبيق على تنفيذ برامج عشوائية على نظام المضيف.

وجد الباحثون أن موقعًا خبيثًا يمكنه، عبر JavaScript، الاتصال بالخدمة المحلية وحقن أعلام خطرة. كل ما يلزم هو أن ينقر الضحية رابطًا مُصاغًا بعناية بينما يكون العارض مثبتًا. النتيجة: تنفيذ شيفرة عن بُعد (RCE) على حاسوب المشغّل بنظام ويندوز - لا تخمين كلمات مرور، ولا تصيّد لبيانات اعتماد، مجرد نقرة واحدة.

لماذا يهم هذا

مع السيطرة على جهاز مشغّل المراقبة، يمكن للمهاجمين تعطيل الكاميرات، أو العبث باللقطات، أو استخدام الجهاز المخترق كنقطة انطلاق للتوغل أعمق داخل شبكات حساسة. ينبع الخلل من عدة هفوات أمنية: وسائط غير مُنقّاة، ومفاتيح تشفير مضمّنة في الشيفرة، وعدم وجود تحقق من مصدر الأوامر. إنه تذكير قوي بأن الخدمات “المحلية فقط” يمكن استغلالها إذا سُمح للمتصفحات بالتواصل معها دون ضوابط.

أطلقت IDIS ووكالة CISA الأمريكية إنذارًا، وحثّتا جميع المستخدمين على الترقية فورًا أو إزالة تثبيت العارض المعرّض للخطر. كما يجب على المؤسسات تدقيق بنية المراقبة لديها وإحكام قفل الخدمات المحلية لتجنب فخاخ معمارية مشابهة.

الخلاصة

ما يُفترض أن يحافظ على سلامتنا قد يفتح أحيانًا الباب أمام أسوأ نقاط ضعفنا. في عصر تراقب فيه كاميرات الأمن كل شيء، من الضروري أن نتذكر: كل عدسة، وكل سطر شيفرة، هو نقطة هجوم محتملة. اليقظة - والترقيع - هما المحيط الجديد.

WIKICROOK

• تنفيذ الشيفرة عن بُعد (RCE): تنفيذ الشيفرة عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى السيطرة الكاملة على ذلك النظام أو اختراقه.
• WebSocket: WebSocket هو بروتوكول يحافظ على قناة مفتوحة بين متصفحك وخادم، ما يتيح تبادل رسائل ثنائي الاتجاه وفي الوقت الحقيقي.
• أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم قيادة وتحكم (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• Chromium Embedded Framework (CEF): يتيح Chromium Embedded Framework (CEF) للمطورين تضمين متصفح ويب قائم على Chromium داخل تطبيقات سطح المكتب، مما يمكّن دمج محتوى الويب وميزات واجهة حديثة.
• CVSS: CVSS (نظام تسجيل الثغرات الأمنية الشائع) هو طريقة معيارية لتقييم شدة العيوب الأمنية، بدرجات من 0.0 إلى 10.0.