لعبة القوة: ثغرات في برمجيات Eaton UPS تكشف البنية التحتية الحرجة لتهديدات تنفيذ الشيفرة

ثغرتان عاليَتا الخطورة في برنامج UPS Companion من Eaton تضعان أنظمة إدارة الطاقة لدى المؤسسات أمام خطر الاستيلاء العدائي - والخبراء يحثّون على تحرّك فوري.

عندما تنطفئ الأضواء، تكون مزوّدات الطاقة غير المنقطعة (UPS) حرّاسًا صامتين يُبقون الأعمال مستمرة. لكن ماذا لو تحوّلت البرمجيات التي تدير هذه شرايين الحياة إلى بوابة للمهاجمين؟ هذا هو السيناريو المقلق الذي تواجهه المؤسسات التي تستخدم برنامج UPS Companion من Eaton، بعد أن كشفت الشركة عن ثغرات حرجة قد تتيح للقراصنة السيطرة على أنظمة الاستضافة.

حقائق سريعة

ثغرتان (CVE-2025-59887 وCVE-2025-59888) تؤثران في برنامج Eaton UPS Companion قبل الإصدار 3.0.
أخطر العيوب يسجّل 8.6 على مقياس CVSS، ويتيح تنفيذ شيفرة عشوائية عبر تحميل مكتبات غير آمن.
يتطلب الاستغلال وصولًا محليًا، لكنه قد يعرّض السرية والسلامة وتوافر النظام للخطر.
تحثّ Eaton على الترقية الفورية إلى الإصدار 3.0 والالتزام الصارم بقنوات التوزيع الرسمية.
تشمل إجراءات التخفيف الموصى بها تقييد الوصول إلى النظام، وعزل الشبكة، واعتماد ممارسات أمن سيبراني قوية.

في نشرة أمنية حديثة (ETN-VA-2025-1026)، كشفت Eaton عن عيبين كبيرين يهددان سلامة برنامج UPS Companion واسع الانتشار. الأولى، CVE-2025-59887، مقلقة على نحو خاص: مع درجة CVSS v3.1 تبلغ 8.6 (عالية)، تنبع الثغرة من تحميل مكتبات غير آمن أثناء تثبيت البرنامج. إذا تمكن مهاجم من العبث بحزمة التثبيت - وهو خطر واقعي جدًا في البيئات ذات الضوابط المتراخية - فبوسعه تنفيذ شيفرة عشوائية على نظام الاستضافة. وبعبارة مبسطة: يمكن للمهاجم تشغيل أي برنامج أو أمر يختاره، وربما اختطاف النظام بأكمله.

أما الثغرة الثانية، CVE-2025-59888، فمصنّفة بمتوسط الخطورة (CVSS 6.7) وتتعلق باقتباس غير صحيح في مسارات البحث. ورغم أن استغلال هذا العيب يتطلب امتيازات عالية المستوى ووصولًا محليًا إلى نظام الملفات، فإنه لا يزال يفتح الباب أمام تنفيذ شيفرة خبيثة - وهو خطر غير مقبول للأنظمة التي تدير بنية تحتية حرجة مثل مزوّدات الطاقة.

تؤثر كلتا الثغرتين في جميع إصدارات برنامج UPS Companion قبل 3.0. وكان رد Eaton سريعًا ومباشرًا: طبّق التصحيح الآن. إرشادات الشركة واضحة - قم بالترقية فورًا إلى الإصدار 3.0 الذي صدر حديثًا، ولا تُنزّل البرنامج إلا من قنوات Eaton الرسمية لمنع تقويض سلسلة التوريد. وبالنسبة للمؤسسات التي لا تستطيع التصحيح فورًا، توصي Eaton بدفاع متعدد الطبقات: تقييد الوصول إلى النظام على الموظفين الموثوقين، وعزل شبكات التحكم خلف جدران حماية، وتجنّب ربط أنظمة إدارة UPS بشبكات الأعمال الأوسع.

والسياق الأوسع يدعو للقلق. غالبًا ما تمر برمجيات إدارة الطاقة تحت رادار فرق أمن تقنية المعلومات، ومع ذلك فهي تشكّل العمود الفقري للمرونة التشغيلية. إن حدوث اختراق هنا لا يتعلق فقط بالتوقف عن العمل - بل بإمكان التلاعب بالبنية التحتية الحرجة، وخرق البيانات، وحدوث إخفاقات متسلسلة عبر الأنظمة المتصلة. وتؤكد نشرة Eaton الحاجة إلى تقييمات أمنية منتظمة، ومصادقة قوية، ويقظة مستمرة.

ومع تزايد استهداف المهاجمين للمكوّنات المُهملة في سلسلة التوريد الرقمية، يصبح الدرس واضحًا: لا يوجد نظام عادي إلى حد يمنع استغلاله. وبالنسبة للمؤسسات التي تعتمد على UPS Companion من Eaton، فالوقت ينفد - طبّق التصحيح الآن، أو خاطر بأن تصبح القصة التحذيرية التالية في سجلات الاختراق السيبراني.

WIKICROOK

تنفيذ الشيفرة العشوائية: يتيح تنفيذ الشيفرة العشوائية للمهاجمين تشغيل أي شيفرة على نظام ما، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة أو سرقة بيانات أو تثبيت برمجيات خبيثة.
CVSS: يُعد CVSS (نظام تسجيل شدة الثغرات الشائعة) طريقة معيارية لتقييم خطورة العيوب الأمنية، بدرجات تتراوح من 0.0 إلى 10.0.
تحميل مكتبات غير آمن: يتيح تحميل المكتبات غير الآمن للمهاجمين حقن شيفرة خبيثة عبر خداع البرمجيات لتحميل مكتبات من مواقع غير آمنة أو غير مقصودة، ما يعرّض أمن النظام للخطر.
هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزوّدي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.