اكتشف باحثو فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعي في كاسبرسكي نقاط ضعف عالية الخطورة في أجهزة المودم الخلوية من شركة Cinterion. ويظهر الاكتشاف عيوباً تسمح لمهاجمين بعيدين وغير مصرح لهم بتنفيذ تعليمات برمجية عشوائية، مما يشكل تهديداً كبيراً لملايين الأجهزة الصناعية. وقدم خبراء كاسبرسكي تفاصيل حول هذه الثغرات الأمنية خلال مؤتمر OffensiveCon المقام في برلين، في 11 مايو.
حدد فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعي لدى كاسبرسكي نقاط ضعف أمنية خطرة في أجهزة المودم الخلوية من شركة Cinterion، والمنتشرة على نطاق واسع بملايين الأجهزة، والتي تعد حيوية للبنية التحتية للاتصال العالمي. وتشمل نقاط الضعف المذكورة عيوباً خطرة تسمح بتنفيذ تعليمات برمجية عن بُعد، وكذلك تصعيد الامتيازات غير المصرح بها، وهو ما يشكل مخاطر كبيرة على شبكات الاتصالات وأجهزة إنترنت الأشياء الأساسية لقطاعات الصناعة، والرعاية الصحية، والسيارات، والمال، والاتصالات.
كانت إحدى أكثر نقاط الضعف المُكتشفة إثارة للقلق هي CVE-2023-47610، إذ أنها ثغرة أمنية لتجاوز سعة التخزين المؤقت داخل معالجات الرسائل التي تستخدم معيار SUPL في أجهزة المودم. ويسمح هذا الخلل للمهاجمين البعيدين بتنفيذ تعليمات برمجية عشوائية عبر خدمة الرسائل القصيرة (SMS)، مما يمنحهم وصولاً غير مسبوق لنظام تشغيل أجهزة المودم. كما يسهل هذا الوصول التلاعب بذاكرة الوصول العشوائي وذاكرة الفلاش، مما يزيد من إمكانية التحكم الكامل بوظائف أجهزة المودم، وكل ذلك دون مصادقة أو تطلب الوصول الفعلي للجهاز.
كما كشفت التحقيقات الإضافية عن ثغرات أمنية كبيرة في التعامل مع تطبيقات MIDlets القائمة على لغة Java والعاملة في أجهزة المودم. حيث يمكن للمهاجمين تقويض سلامة هذه التطبيقات عبر التحايل على عمليات التحقق من التوقيع الرقمي، مما يتيح تنفيذ التعليمات البرمجية غير المصرح بها مع امتيازات عالية. يشكل هذا الخلل خطراً كبيراً لا يقتصر على سرية وسلامة البيانات فحسب، بل أنه يصعد التهديد لأمن الشبكة الأوسع وسلامة الأجهزة.
تعليقاً على الأمر، قال يفجيني جونشاروف، رئيس فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعي: «يسلط كل من نقاط الضعف التي وجدناها، والانتشار الواسع لهذه الأجهزة في مختلف القطاعات، الضوء على إمكانية حدوث اضطرابات عالمية واسعة النطاق. وتتراوح هذه الاضطرابات بين تأثيرات اقتصادية وتشغيلية ومشاكل سلامة. ونظراً لأن أجهزة المودم عادة ما يتم تضمينها كما دمى ماتريوشكا داخل حلول أخرى، يؤدي تكديس منتجات الموردين واحداً فوق الآخر إلى جعل تجميع قائمة بالمنتجات النهائية المتأثرة مهمة صعبة. ويجب على البائعين المتأثرين أن يبذلوا جهوداً مكثفة لإدارة المخاطر، وغالباً ما تنحصر قدرة تخفيف المخاطر في مشغلي شبكات الاتصالات. ونأمل أن يساعد تحليلنا المتعمق أصحاب المصلحة على تطبيق تدابير أمنية عاجلة وإنشاء نقطة مرجعية قيمة لأبحاث الأمن السيبراني المستقبلية.»
لمواجهة التهديد الذي تشكله ثغرة CVE-2023-47610، توصي شركة كاسبرسكي بالحل الوحيد الموثوق، ألا وهو تعطيل القدرات غير الضرورية لرسائل SMS واستخدام أسماء نقاط وصول (APNs) خاصة مع إعدادات أمان صارمة. وفيما يتعلق بثغرات اليوم الصفري المُسجلة بين CVE-2023-47611 وCVE-2023-47616، تنصح شركة كاسبرسكي بفرض تحقق صارم من التوقيع الرقمي لتطبيقات MIDlets، والتحكم بالوصول المادي إلى الأجهزة، وإجراء عمليات تدقيق وتحديثات أمنية منتظمة.
استجابة لهذه الاكتشافات، تمت مشاركة جميع النتائج استباقياً مع الشركة المصنعة قبل الإفصاح العام. حيث أن أجهزة المودم الخاصة بشركة Cinterion قد تم تطويرها أصلاً بواسطة شركة Gemalto، وهي مكونات أساسية في اتصالات الآلة لآلة (M2M) وإنترنت الأشياء، وتدعم مجموعة واسعة من التطبيقات، بداية من الأتمتة الصناعية، مروراً بتقنيات الاتصال عن بُعد للمركبات، وصولاً إلى القياس الذكي، وانتهاء بمراقبة الرعاية الصحية. ولاحقاً، استحوذت شركة Thales على شركة Gemalto. وفي عام 2023، استحوذت شركة Telit على أعمال منتجات إنترنت الأشياء الخلوية لشركة Thales، بما يشمل أجهزة المودم لشركة Cinterion.
لحماية الأنظمة المتصلة بأجهزة إنترنت الأشياء، يوصي خبراء شركة كاسبرسكي بما يلي:
- تزويد الفريق الأمني المسؤول عن حماية الأنظمة الحيوية بأحدث معلومات التهديدات. حيث توفر خدمة تقارير استخبارات التهديدات رؤى حول التهديدات الحالية، ونواقل الهجوم، والعناصر الأكثر عرضة للخطر وكيفية التخفيف منها.
- استخدم حلاً موثوقاً لأمن النقاط الطرفية. ويمكن لجزء مخصص من Kaspersky Next اكتشاف الشذوذ في سلوك الملفات والكشف عن نشاط البرمجيات الخبيثة عديمة الملفات.
- تأكد من حماية النقاط الطرفية الصناعية والنقاط الطرفية للشركات. حيث يتضمن حل Kaspersky Industrial CyberSecurity حماية مخصصة للنقاط الطرفية ومراقبة الشبكة للكشف عن أي نشاط مشبوه ويحتمل أن يكون خبيثاً في الشبكة الصناعية.
- يمكن أن يساعد حل Kaspersky Machine Learning for Anomaly Detect في الكشف عن انحرافات التصنيع الناتجة عن حوادث، أو عوامل بشرية، أو هجمات سيبرانية، ومنع توقف العمل.
- ضع في اعتبارك حلول المناعة السيبرانية لبناء حماية متأصلة ضد الهجمات السيبرانية.
- قم بتثبيت حل أمني يحمي الأجهزة من نواقل الهجوم المختلفة، مثل حل Kaspersky Embedded Systems Security. إذا كان الجهاز يمتلك مواصفات نظام منخفضة للغاية، فسوف يحميه حل شركة كاسبرسكي باستخدام سيناريو الرفض الافتراضي.
