أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إضافة ثغرة أمنية معروفة تستهدف أنظمة التحكم الصناعي إلى سجلها، بعد اكتشاف استغلالها في عمليات هجومية فعلية. وتشكل هذه الخطوة تحذيراً هاماً للمؤسسات التي تعتمد على هذه الأنظمة لضمان استمرارية عملياتها.
وتتعلق الثغرة المكتشفة، التي تحمل الرقم CVE-2021-26829، بنقطة ضعف من نوع “البرمجة النصية عبر المواقع” (XSS) وتؤثر على أنظمة ScadaBR التابعة لـ OpenPLC. وقد تم تحديد أن الثغرة موجودة في إصدارات برنامج ScadaBR التي تعمل على أنظمة التشغيل Windows و Linux.
تحديث سجل الثغرات الأمنية المكتشفة
تأتي إضافة ثغرة CVE-2021-26829 إلى السجل الوطني للثغرات الأمنية المستغلةknown exploited vulnerabilities (KEV) بعد وقت قصير من كشف شركة Forescout عن قيام مجموعة من قراصنة “الهاكتيفيست” الموالين لروسيا، والمعروفة باسم TwoNet، باستهداف أحد أنظمة الرصد الخاصة بها في سبتمبر 2025.
استغل المهاجمون في الهجوم ثغرة CVE-2021-26829 لتغيير صفحة تسجيل الدخول لواجهة النظام، مما أدى إلى ظهور رسالة ترحيبية معدلة. كما أجروا تعديلات على إعدادات النظام بهدف تعطيل السجلات والإنذارات، وذلك دون إدراك منهم بأنهم يهاجمون نظام مراقبة مصمم لاكتشاف مثل هذه الأنشطة.
تمكنت المجموعة المهاجمة من الانتقال من مرحلة الوصول الأولي إلى مرحلة تنفيذ الهجوم خلال حوالي 26 ساعة. وقد اعتمدت في بدايتها على استخدام بيانات اعتماد افتراضية لاختراق النظام، تلتها مرحلة استطلاع وتثبيت لوجودها عن طريق إنشاء حساب مستخدم جديد.
من جانبها، أشارت Forescout إلى أن المهاجمين لم يحاولوا تصعيد امتيازاتهم أو استغلال النظام المضيف الأساسي، بل ركزوا بشكل كامل على طبقة تطبيقات الويب الخاصة بواجهة النظام.
تجدر الإشارة إلى أن نشاط مجموعة TwoNet بدأ في يناير الماضي عبر تطبيق تليغرام، حيث ركزت في البداية على هجمات حجب الخدمة الموزعة (DDoS). ومع ذلك، وسعت المجموعة لاحقاً نطاق أنشطتها لتشمل استهداف الأنظمة الصناعية، ونشر معلومات شخصية (doxxing)، وتقديم خدمات مثل برامج الفدية كخدمة (RaaS)، وخدمات القرصنة مقابل المال.
كما زعمت المجموعة ارتباطها بكيانات أخرى في عالم الهاكتيفيست مثل CyberTroops و OverFlame. وأضافت Forescout في تقريرها أن TwoNet “تجمع الآن بين تكتيكات الويب التقليدية والادعاءات المثيرة للاهتمام المتعلقة بالأنظمة الصناعية”.
بهدف تعزيز الأمان، سيتم إلزام الوكالات الفيدرالية المدنية بتطبيق الإصلاحات اللازمة لمعالجة هذه الثغرة الأمنية قبل تاريخ 19 ديسمبر 2025.
استغلال البنية التحتية السحابية لشن الهجمات
جاء هذا التحديث بالتزامن مع تغريدة أخرى من شركة VulnCheck، التي كشفت عن مراقبتها لنقطة نهاية “اختبار أمان التطبيقات خارج النطاق” (OAST) على Google Cloud، والتي كانت تقود عمليات استغلال هجمات موجهة إقليمياً. وتشير البيانات إلى أن هذا النشاط كان يستهدف البرازيل بشكل خاص.
ذكر جاكوب باينز، الرئيس التنفيذي لشركة VulnCheck، أنه تم رصد حوالي 1400 محاولة استغلال لنحو 200 ثغرة أمنية (CVE) مرتبطة بهذه البنية التحتية. وأوضح باينز أن “بينما كانت غالبية الأنشطة تشبه قوالب Nuclei القياسية، إلا أن اختيارات المهاجمين للبنية التحتية، والحمولات، والاستهداف الإقليمي لم تتوافق مع الاستخدامات المعتادة لـ OAST”.
تتضمن هذه الأنشطة استغلال ثغرة أمنية، وفي حال نجاحها، يتم إرسال طلب HTTP إلى أحد المجالات الفرعية التابعة للمهاجم لخدمة OAST. وتشير سجلات الاستدعاءات لخدمة OAST المرتبطة بهذا النطاق إلى أنها مستمرة منذ نوفمبر 2024 تقريباً، مما يعني أنها استمرت لحوالي عام.
وقد لوحظ أن هذه المحاولات تنبع من بنينة تحتية تابعة لـ Google Cloud في الولايات المتحدة، مما يوضح كيف يقوم المهاجمون باستغلال الخدمات الشرعية عبر الإنترنت للتهرب من الكشف والاندماج ضمن حركة مرور الشبكة العادية.
كما حددت VulnCheck ملف Java (“TouchFile.class”) تم استضافته على عنوان IP مرتبط بنطاق OAST. ويقوم هذا الملف بتوسيع استغلال متاح للعامة لثغرة تنفيذ التعليمات البرمجية عن بعد لـ Fastjson، مما يسمح بقبول الأوامر والمعاملات عبر URL، وتنفيذ هذه الأوامر وإرسال طلبات HTTP صادرة إلى عناوين URL المدخلة.
وأضاف باينز أن “البنية التحتية المستمرة لـ OAST والتركيز الإقليمي المتسق يشيران إلى جهة فاعلة تنفذ عملية مسح مستمرة بدلاً من محاولات استطلاع انتهازية قصيرة الأجل.” وأكد أن “المهاجمين يواصلون استخدام الأدوات المتاحة مثل Nuclei ونشر الثغرات على الإنترنت لتحديد الأصول الضعيفة والاستيلاء عليها بسرعة”.