كشفت أبحاث أمنية حديثة عن 6 ثغرات أمنية خطيرة من نوع "الحرمان من الخدمة" (DoS)، تستهدف جهاز Socomec DIRIS M-70، وهو بوابة صناعية مهمة في قطاعات البنية التحتية الحيوية المستخدمة لمراقبة الطاقة وإدارة استهلاكها. تم اكتشاف هذه الثغرات باستخدام تقنية محاكاة مبتكرة مكنت الباحثين من تجاوز قيود تصحيح الأعطال على مستوى العتاد، عبر إخضاع خيط واحد مسؤول عن معالجة بروتوكول Modbus لتحليل دقيق.
يُعد جهاز M-70، الذي يعمل عبر شبكات RS485 و Ethernet، محورياً في نقل البيانات ودعم بروتوكولات الاتصال الصناعية المتعددة مثل Modbus RTU، Modbus TCP، BACnet IP، و SNMP. وأثرت الثغرات المكتشفة على الإصدار 1.6.9 من البرنامج الثابت للجهاز، مما قد يسمح للمهاجمين عن بعد بتعطيل عمل الجهاز دون الحاجة إلى أي مصادقة.
تداعيات الثغرات الأمنية في أجهزة Socomec DIRIS M-70
تشكل هذه الثغرات مخاطر جسيمة على قطاعات حيوية مثل مراكز البيانات، والمرافق الصحية، والبنية التحتية للطاقة، حيث يعتبر جهاز M-70 عنصراً أساسياً في إدارة الطاقة. إن اختراق هذا الجهاز قد يؤدي إلى انقطاعات واسعة النطاق، وتعطيل العمليات التشغيلية، وتلف المعدات في البيئات الصناعية.
بدأت رحلة اكتشاف الثغرات عندما واجه باحثو Cisco Talos آلية حماية تُعرف باسم "حماية قراءة الكود" (RDP) من المستوى الأول، والتي تعتمد عليها شريحة STM32 المستخدمة في الجهاز. هذه الآلية غيرت نهج التصحيح التقليدي عبر اتصالات JTAG، حيث تمنع قراءة الذاكرة المخزنة مؤقتاً حال اكتشاف محاولة تصحيح عبر الأدوات المخصصة، مما يجعل من المستحيل فحص الكود أثناء تنفيذه.
البحث والتحليل: تجاوز القيود باستخدام المحاكاة
تمكن فريق البحث من الحصول على ملف تحديث للبرنامج الثابت غير مشفر، مما وفّر لهم الكود اللازم لإجراء التحليل المطلوب. وقد قام الباحثون بتطوير منهجية محاكاة موجهة، مستخدمين إطار عمل Unicorn Engine. ركز هذا النهج على تشغيل خيط معالجة بروتوكول Modbus فقط، بدلاً من محاولة محاكاة النظام بأكمله، وهو ما أثبت فعاليته وأقلل من وقت التطوير اللازم.
لتعزيز عملية اكتشاف الثغرات، قام الفريق بدمج أداة AFL (American Fuzzy Lop) المدعومة بالتغطية، ثم انتقلوا لاحقاً إلى إطار عمل Qiling، والذي أتاح لهم قدرات تصحيح إضافية وتصوراً لتغطية الكود. كان المسار الخاص ببروتوكول Modbus يدعم أكثر من 700 نوع رسالة فريد، مما جعل الفحص اليدوي مستحيلاً.
تفاصيل الثغرات والأثر المترتب عليها
أسفرت حملة الفحص عن تحديد ست ثغرات، تم تتبعها تحت معرفات CVE-2025-54848، CVE-2025-54849، CVE-2025-54850، CVE-2025-54851، CVE-2025-55221، و CVE-2025-55222. تتميز كل ثغرة بتقييم CVSS v3.1 قدره 7.5 (مرتفع)، مع إمكانية استغلالها عبر شبكات خارجية، وتتطلب تعقيداً منخفضاً ولا تستلزم تفاعلاً من المستخدم.
تسمح هذه الثغرات للمهاجمين غير المصرح لهم بإرسال رسائل Modbus TCP أو Modbus RTU معدة خصيصاً، والتي تؤدي إلى حالات حرمان من الخدمة، مما يجعل الجهاز غير قابل للتشغيل. في المقابل، أصدرت شركة Socomec تحديثات لمعالجة جميع المنتجات المتأثرة، وذلك بعد الكشف عنها ضمن سياسة الإفصاح المنسق من Cisco. يُنصح المستخدمون بتحديث الأجهزة التي تعمل بالإصدار 1.6.9 إلى الإصدار 1.7 أو أحدث للحماية من الاستغلال.
علاوة على ذلك، يمكن للمنظمات نشر قواعد الكشف من Snort المتوفرة على موقع Snort.org لتحديد محاولات الاستغلال المحتملة لهذه الثغرات ضمن بيئاتها الشبكية. تُبرز هذه الأبحاث كيف أن المحاكاة المركزة لمكونات معينة يمكن أن تؤدي إلى اكتشافات ثغرات مؤثرة دون الحاجة إلى محاكاة للنظام بالكامل.