كيف أصبحت الحدائق الذكية جنةً للقراصنة: كشف ثغرات Gardyn

تخيّل هذا: حديقتك الداخلية المزدهرة، التي تُغذّي الريحان والطماطم بهدوء تحت مراقبة الذكاء الاصطناعي، تتحوّل فجأة إلى بوابة صامتة للقراصنة. هذا ليس خيالًا علميًا - بل هو الواقع الذي واجهه عملاء Gardyn عندما كُشف عن عدة ثغرات أمنية حرجة في حدائق الشركة المائية الذكية الشهيرة، ما قد يعرّض آلاف المنازل لهجمات سيبرانية عن بُعد.

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا هذا الأسبوع بشأن ثغرتين حرجتين وثغرتين عاليتي الخطورة تم العثور عليها في أنظمة البستنة الذكية لدى Gardyn. هذه العيوب، التي حدّدها الباحث الأمني مايكل غروبرمان، كان من الممكن أن تتيح لقراصنة في أي مكان في العالم اختطاف الأجهزة، والعبث بظروف النمو، والوصول إلى معلومات شخصية - كل ذلك من دون علم المالك أو موافقته.

شملت أكثر المشكلات إثارة للقلق ثغرة “حقن الأوامر” (CVE-2025-29631) التي قد تسمح للمهاجمين بتشغيل أي أمر لنظام التشغيل على الجهاز، وكشف بيانات اعتماد مسؤول مضمّنة في الشيفرة (CVE-2025-1242) منحت تحكمًا كاملًا في مركز إنترنت الأشياء (IoT Hub) الخاص بـ Gardyn. وتعلّقت ثغرتان إضافيتان عاليتي الخطورة بنقل غير آمن لبيانات حساسة واستخدام بيانات اعتماد افتراضية، ما سهّل على المهاجمين اعتراض حركة المرور أو الحصول على وصول عبر SSH.

كشفت أبحاث غروبرمان أن هذه الثغرات يمكن استغلالها عن بُعد عبر استهداف واجهة برمجة التطبيقات السحابية لـ Gardyn وبنية Azure IoT Hub التحتية. نظريًا، يمكن لمهاجم استخراج بيانات اعتماد المسؤول من تطبيق الهاتف المحمول أو البرنامج الثابت (Firmware)، والسيطرة على IoT Hub، ثم التلاعب بأي حديقة متصلة - بتغيير الإضاءة، وجداول الري، أو استخراج بيانات النباتات. وبينما ظلت معلومات الدفع آمنة، كان من الممكن أن تُكشف بيانات شخصية محدودة مثل الأسماء والبريد الإلكتروني والعناوين.

ردّت Gardyn بإصدار تصحيحات لطرازي Home وStudio، بما في ذلك تحديثات لتطبيق الهاتف المحمول والبرنامج الثابت للجهاز. وطمأنت الشركة العملاء بأن معظم الأجهزة كان ينبغي أن تتلقى تحديثات تلقائية إذا كانت متصلة بالإنترنت، وأفادت بعدم وجود دليل على استغلال هذه الثغرات على أرض الواقع.

ونسب غروبرمان الفضل إلى عمل سابق للباحث كريستوف ماتّي، الذي كان قد أشار سابقًا إلى مشكلات مشابهة، لكنه لفت إلى أن بعض نقاط الضعف استمرت حتى كشفت نتائجه الموسّعة في أواخر 2025 عنها. وتسلّط الحادثة الضوء على تزايد المخاطر السيبرانية الكامنة في أجهزة “ذكية” يومية، حيث غالبًا ما تتقدم الراحة والأتمتة على ضمانات الأمان.

ومع توجه المزيد من الأسر إلى الأجهزة المتصلة - حتى لزراعة الطعام - تُعدّ قصة Gardyn جرس إنذار: كل أداة من أدوات إنترنت الأشياء يمكن أن تصبح هدفًا. إنها تذكير بأنه في الدفيئة الرقمية، تُعدّ اليقظة والتحديث في الوقت المناسب ضروريين بقدر الماء وضوء الشمس.

WIKICROOK

• IoT (إنترنت الأشياء): إنترنت الأشياء (IoT) هي أجهزة يومية، مثل الأجهزة المنزلية الذكية أو المستشعرات، متصلة بالإنترنت - وغالبًا ما يجعلها ذلك أهدافًا للهجمات السيبرانية.
• حقن الأوامر: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتشغيل أوامر غير مصرح بها عبر إدخال مدخلات خبيثة في حقول المستخدم أو الواجهات.
• بيانات اعتماد مضمّنة في الشيفرة: بيانات الاعتماد المضمّنة في الشيفرة هي أسماء مستخدمين أو كلمات مرور مُدرجة داخل كود البرنامج، ما يشكل خطرًا أمنيًا كبيرًا إذا اكتشفها مهاجمون أو مستخدمون غير مخولين.
• MitM (الرجل: يحدث هجوم الرجل في الوسط (MitM) عندما يعترض شخص ما سرًا - وربما يغيّر - الاتصال بين طرفين.
• البرنامج الثابت: البرنامج الثابت هو برمجيات متخصصة مخزنة داخل الأجهزة المادية، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.