بوابات غير مرئية: كيف تفتح ثغرات محوّلات التسلسلي إلى IP الباب الخلفي للتخريب الصناعي

بحث جديد يكشف 22 ثغرة خفية في أجهزة الجسر الصناعية، مهدِّداً البنية التحتية الحيوية حول العالم.

إنها عمّال صامتون في العالم الصناعي - صناديق صغيرة لا تلفت الانتباه، تصل القديم بالجديد. لكن وفقاً لبحث جديد صادم، تتحول هذه المحوّلات من التسلسلي إلى IP بهدوء إلى كعب أخيل للبنية التحتية الحيوية، مانحةً المهاجمين السيبرانيين طريقاً شبه غير مرئي لتخريب المصانع والمستشفيات وشبكات الكهرباء.

حقائق سريعة

كشف تقرير Forescout بعنوان «BRIDGE:BREAK» عن 22 ثغرة جديدة في محوّلات التسلسلي إلى IP من Lantronix وSilex Technology.
آلاف الأجهزة الضعيفة مكشوفة على الإنترنت، ويُستخدم كثير منها في المستشفيات والمرافق ومحطات التصنيع.
يمكن للمهاجمين استغلال هذه العيوب لتنفيذ تعليمات برمجية عن بُعد، والعبث بالبيانات، وشنّ هجمات حجب الخدمة، والتحرك الجانبي عبر الشبكات.
هجمات سابقة - بما في ذلك انقطاع الكهرباء في أوكرانيا عام 2015 - استخدمت أجهزة مشابهة لتعطيل البنية التحتية الحيوية.
يوصى على وجه السرعة بالتحديثات، واعتماد بيانات اعتماد قوية، وتقسيم الشبكات، والمراقبة المستمرة.

وتحت اسم «BRIDGE:BREAK»، تكشف التحقيقات الجديدة من Forescout Technologies عن 22 ثغرة غير معروفة سابقاً في محوّلات التسلسلي إلى IP - وهي أجهزة تربط معدات التسلسل القديمة بشبكات الحاسوب الحديثة. ويركّز التقرير على منتجات منتشرة على نطاق واسع من Lantronix وSilex Technology، مبيّناً كيف يمكن لعيوب في هذه الجسور المُهملة أن تمنح المهاجمين مفاتيح مملكة تقنية التشغيل (OT).

تلعب محوّلات التسلسلي إلى IP دوراً حاسماً لكنه غير مُقدَّر حق قدره، إذ تربط وحدات التحكم المنطقية القابلة للبرمجة (PLCs) وأجهزة الاستشعار وحتى الأجهزة الطبية المنقذة للحياة بالعالم الرقمي. وعلى الرغم من انتشارها في المصانع والمستشفيات وشبكات الطاقة، فإن هذه الأجهزة كثيراً ما تفلت من انتباه فرق الأمن - لتقع خارج نطاق أدوات المراقبة التقليدية. ونتيجة لذلك، تصبح هدفاً مثالياً لخصوم يسعون لتعطيل العمليات، أو التحرك جانبياً عبر الشبكات، أو حتى العبث ببيانات المستشعرات وأوامر التحكم.

التفاصيل التقنية مقلقة. فقد وجد فريق BRIDGE:BREAK أن الثغرات في هذه الأجهزة تتيح تنفيذ تعليمات برمجية عن بُعد، وتجاوز المصادقة، والعبث بالبرامج الثابتة، وهجمات حجب الخدمة. وفي بعض الحالات، يستطيع المهاجمون التلاعب بقراءات المستشعرات - بتغيير بيانات مثل الحرارة أو الضغط على سبيل المثال - أو تعديل أوامر المشغلات، بما يعرّض العمليات الفيزيائية لعواقب واقعية. كما يبرز البحث كيف يمكن للمهاجمين، بمجرد الدخول، استخدام هذه المحوّلات كنقاط ارتكاز، للتوغل أعمق داخل الشبكات الصناعية المُقسّمة.

وقد أظهر التاريخ بالفعل الإمكانات التدميرية لاستهداف هذه الأجهزة. ففي أوكرانيا، لعبت برامج ثابتة مُفسدة على محوّلات التسلسلي إلى IP دوراً في إسقاط محطات كهربائية فرعية عام 2015. ويُقال إن تقنية مشابهة ضربت شبكة الكهرباء في بولندا بعد عقد من الزمن. ويحذّر تقرير Forescout من أنه مع ازدياد تعقيد الهجمات الصناعية، قد يصبح المحوّل المتواضع سلاحاً مفضلاً لمن يسعون للتلاعب بالأنظمة الحيوية أو شلّها.

وكشف التحليل ليس فقط عن ثغرات جديدة، بل أيضاً عن منظومة صادمة من المخاطر: إذ يحتوي البرنامج الثابت لكل جهاز غالباً على مئات المكونات مفتوحة المصدر القديمة وعشرات الاستغلالات المعروفة. والتوصيات واضحة - طبّق التحديثات فوراً، غيّر بيانات الاعتماد الافتراضية، قسّم الشبكات، ولا تعرّض هذه الأجهزة للإنترنت العام مطلقاً. أما المورّدون، فيُحثّون على تبنّي ممارسات «الأمان بالتصميم» وإبقاء مكونات البرمجيات محدّثة.

ومع تسارع العالم لتحديث بنيته التحتية، يقف محوّل التسلسلي إلى IP الصغير، الذي غالباً ما يُتجاهل، كجسر وكـنقطة اختراق محتملة في آن واحد. والدرس صارخ: في مجال أمن الصناعة، حتى أصغر جهاز قد يخلّف عواقب كارثية إذا تُرك بلا حماية.

WIKICROOK

التسلسلي: التسلسلي هو أسلوب لنقل البيانات، يُستخدم غالباً في الأجهزة الأقدم، حيث تُرسل البيانات بتاً بتاً عبر قناة أو سلك واحد.
تنفيذ تعليمات برمجية عن بُعد: يتيح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين تشغيل أوامر على جهازك من مسافة، وغالباً ما يؤدي ذلك إلى اختراق كامل للنظام وسرقة البيانات.
التحرك الجانبي: التحرك الجانبي هو عندما ينتقل المهاجمون، بعد اختراق شبكة، أفقياً للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاقهم.
العبث بالبرامج الثابتة: العبث بالبرامج الثابتة هو التعديل غير المصرح به لبرنامج الجهاز الثابت، وغالباً ما يستخدمه المهاجمون لتثبيت برمجيات خبيثة أو تجاوز ضوابط الأمان.
الحجب: الحجب في الأمن السيبراني يعني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، وغالباً عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور كثيفة.