تؤثر هذه الثغرات، المسماة Frostbyte10، على أنظمة التحكم E2 وE3، المسؤولة عن تنظيم درجات الحرارة في غرف التبريد، بالإضافة إلى وحدات التدفئة والتهوية وتكييف الهواء، وحتى أنظمة الإضاءة في المباني.
تتواجد شركة كوبلاند في أكثر من 40 دولة، وفيما يتعلق بالثغرات التي تم اكتشافها، أوضحت أن ليس جميع المنشآت معرضة للخطر.
اكتشف باحثون في مختبرات Armis هذه الثغرة الأمنية، حيث أجروا اختبارات واكتشفوا سلوكًا غريبًا.
اكتشفوا 10 ثغرات أمنية مترابطة، تتراوح بين ضعف المصادقة وتصعيد الصلاحيات.
صُنفت جميعها على أنها حرجة، مما يسمح بتنفيذ التعليمات البرمجية عن بُعد بصلاحيات المسؤول.
كشفت إحدى المشكلات، CVE-2025-6519، عن وجود حساب إداري افتراضي، مع كلمات مرور تعتمد على التاريخ يتم تجديدها يوميًا.
تسمح ثغرة أمنية حرجة أخرى، CVE-2025-52549، بإنشاء كلمة مرور جذر لينكس بعد كل تشغيل للجهاز، وبالتالي عند دمجها مع الخلل السابق، يمكن للمهاجم السيطرة الكاملة.
على الرغم من انتهاء صلاحية وحدة التحكم E2 في أكتوبر الماضي، لا تزال العديد من وحداتها نشطة، وهي عُرضة للخطر بشكل خاص بسبب استخدامها لبروتوكولات خاصة دون تشفير.
أصدرت شركة كوبلاند بالفعل تحديثات للبرامج الثابتة لكل من E2 وE3، وتحث جميع العملاء على تثبيتها فورًا.
لم يُرصد أي دليل على استغلال فعلي حتى الآن، لكن الخبراء يُحذرون من أن أنظمة بهذا الحجم تُمثل هدفًا طبيعيًا لمجرمي الإنترنت.
ولم تظهر أي أدلة حتى الآن على وجود استغلال حقيقي، لكن الخبراء يحذرون من أن أنظمة بهذا الحجم تشكل هدفا طبيعيا لمجرمي الإنترنت.
ليست هناك تعليقات:
إرسال تعليق