Netcrook Logo
👤 SHADOWFIREWALL
🗓️ 31 Jan 2026   🌍 Asia

فوضى التحكم الصناعي: كيف يمكن لثغرة في SCADA أن تُعطّل الأنظمة الحرجة بملف سجل واحد

العنوان الفرعي: ثغرة كُشف عنها حديثًا في حزمة Iconics التابعة لشركة Mitsubishi Electric تعرّض الشبكات الصناعية لهجمات حجب خدمة مدمّرة - من دون الحاجة إلى صلاحيات مدير.

تخيّل أرضية مصنع تتوقف عن العمل تمامًا، ليس بسبب هجوم سيبراني متطور، بل لأن ملف سجل بسيط قام بتخريب قلب نظام التحكم ذاته. ليست هذه حبكة ديستوبية - بل واقع مقلق يواجه آلاف العمليات الصناعية حول العالم بعد الكشف عن خلل خطير في حزمة Iconics SCADA من Mitsubishi Electric.

حقائق سريعة

  • CVE-2025-0921 تؤثر في Mitsubishi Electric Iconics Suite (الإصدارات 10.97.2 وما قبلها)، وهي منصة SCADA شائعة.
  • تتيح الثغرة لمستخدمين محليين غير إداريين التسبب بحجب الخدمة (DoS) عبر إفساد برامج تشغيل نظام Windows الحرجة.
  • يمكن للمهاجمين استغلال أذونات مُهيّأة بشكل خاطئ للكتابة فوق ملفات أساسية مثل cng.sys، ما يؤدي إلى فشل إقلاع النظام بلا نهاية.
  • تزداد قوة الثغرة عند دمجها مع ثغرة أخرى (CVE-2024-7587) تمنح أذونات ملفات مفرطة.
  • أصدرت Mitsubishi Electric نشرات إرشادية وخطوات تخفيف عاجلة للجهات المتأثرة.

داخل الاستغلال: عندما تتحول السجلات إلى أسلحة

تتخفّى الثغرة، المُسجّلة تحت CVE-2025-0921، في AlarmWorX64 MMX Pager Agent ضمن Iconics Suite، وهي عمود برمجي لمراقبة والتحكم بكل شيء من خطوط تصنيع السيارات إلى شبكات الطاقة. ووفقًا لباحثين في Palo Alto Networks، ينشأ الخلل من سوء إدارة الامتيازات في طريقة تعامل البرنامج مع عمليات نظام الملفات - وتحديدًا كيفية كتابته لسجلات تنبيهات الرسائل القصيرة (SMS).

هكذا يتكشف الهجوم: يقوم مستخدم مارق، من دون صلاحيات مدير، بتعديل ملف إعدادات (IcoSetup64.ini) لإعادة توجيه مخرجات التسجيل إلى ملف برنامج تشغيل Windows حرج مثل cng.sys - وهو الملف المسؤول عن عمليات التشفير الحيوية لبدء تشغيل النظام. ومن خلال إنشاء رابط رمزي، يضمن المهاجم أن كل تنبيه SMS يكتب فوق هذا المشغّل ببيانات عشوائية.

النتيجة؟ في المرة التالية التي يُعاد فيها تشغيل النظام، يحاول Windows تحميل المشغّل المُفسد ويفشل، لينزلق إلى حلقة إصلاح لا تنتهي. تصبح محطة العمل الصناعية - وغالبًا ما تكون مركز الأعصاب لخطوط إنتاج كاملة - غير قابلة للتشغيل إطلاقًا. هذا ليس مجرد تعثر مؤقت؛ بل سيناريو حجب خدمة كامل على تكنولوجيا التشغيل (OT) الحرجة.

وتتفاقم الحالة بسبب ثغرة ثانية (CVE-2024-7587) في مُثبّت GenBroker32، الذي يسمح عن طريق الخطأ لأي مستخدم محلي بتعديل ملفات إعدادات حساسة - مما يفتح الباب على مصراعيه أمام الاستغلال.

ما التالي أمام المدافعين الصناعيين؟

نشرت Mitsubishi Electric إرشادات عاجلة توصي بالترقيع الفوري وفرض ضوابط وصول صارمة. لكن الحادثة تُظهر بوضوح كيف يمكن حتى للثغرات ذات الشدة “المتوسطة” أن تُحدث عواقب كارثية في عالم الأتمتة الصناعية عالي المخاطر. لم يعد الفصل السليم للامتيازات والترقيع اليقظ خيارًا - بل هما الشيئان الوحيدان اللذان يقفان بين تشغيل سلس وتوقف مكلف.

الخلاصة

هذه الثغرة في SCADA جرس إنذار للأمن السيبراني الصناعي: لا يحتاج المهاجمون إلى وصول إداري أو برمجيات خبيثة لإحداث الفوضى - أحيانًا، كل ما يلزم هو ملف سجل يقع في الأيدي الخطأ. بالنسبة للمنظمات التي تدير بنى تحتية حرجة، الدرس واضح: رقّع بسرعة، شدّد الأذونات، ولا تستهِن أبدًا بقوة خطأ تهيئة واحد.

WIKICROOK

  • SCADA: تراقب أنظمة SCADA (التحكم الإشرافي وتجميع البيانات) العمليات الصناعية وتتحكم بها مثل شبكات الطاقة ومحطات المياه من موقع مركزي.
  • Denial: يعني “الحجب” في الأمن السيبراني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، غالبًا عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور.
  • Symbolic Link: الرابط الرمزي هو اختصار في نظام الملفات يشير إلى ملف أو مجلد آخر، ما يتيح وصولًا سهلًا من مواقع مختلفة دون تكرار.
  • Privilege Escalation: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، بالانتقال من حساب مستخدم عادي إلى صلاحيات المدير على نظام أو شبكة.
  • Patch: الرقعة هي تحديث برمجي يُصدر لإصلاح ثغرات أمنية أو أخطاء في البرامج، ما يساعد على حماية الأجهزة من التهديدات السيبرانية وتحسين الاستقرار.
SCADA vulnerability denial-of-service Mitsubishi Electric
SHADOWFIREWALL SHADOWFIREWALL
Adaptive Defense Architect
← Back to news