شهد قطاع الأمن السيبراني الصناعي تحذيراً شديد اللهجة في منتصف شهر يناير لعام 2026، حيث أفصحت شركة AVEVA عن وجود 7 ثغرات أمنية بالغة الخطورة تؤثر على حزمة AVEVA Process Optimization (المعروفة سابقاً باسم ROMeo) في إصدارها 2024.1 وما سبقه من إصدارات.
وتكمن الخطورة الكبرى في إحدى هذه الثغرات التي تتيح للمهاجمين تنفيذ أوامر برمجية عن بعد دون الحاجة إلى أي مصادقة أو هوية دخول، وبصلاحيات نظام التشغيل الكاملة (SYSTEM) من خلال خدمة تعرف بـ taoimr. يفتح هذا الخلل الطريق أمام اختراق شامل لخادم Model Application Server، مشكلاً تهديداً مباشراً لاستقرار العمليات الصناعية الحيوية.
وقد عززت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) هذا التحذير بإصدار إشعار رسمي حمل الرمز (ICSA-26-015-01)، مؤكدة فيه أن استغلال هذه الفجوات الأمنية يمنح المهاجمين قدرات تخريبية تشمل حقن قواعد البيانات، ورفع الامتيازات، والوصول غير المصرح به إلى البيانات الحساسة داخل المنشآت.
خريطة الثغرات وتصنيف المخاطر وفقاً للمعيار العالمي
تتفاوت الثغرات السبع التي حددتها AVEVA في درجة خطورتها، إلا أن 4 منها حصلت على تقييم حرج بمعدلات تتراوح بين 9.3 و10 وفقاً لمقياس (CVSS v4.0). تأتي الثغرة CVE-2025-61937 في المرتبة الأولى كأخطر هذه التهديدات، حيث يستغل المهاجم خللاً في طبقة API لتنفيذ تعليمات برمجية بصلاحيات النظام. كما تبرز الثغرة (CVE-2025-64691) التي تمكن المستخدمين العاديين من رفع صلاحياتهم عبر العبث بسكربتات TCL Macro، بالإضافة إلى الثغرة (CVE-2025-61943) التي تستهدف Captive Historian عبر حقن SQL، ما قد يؤدي إلى السيطرة التامة على خادم قواعد البيانات.
تمتد قائمة التهديدات لتشمل تقنيات DLL Hijacking عبر الثغرة (CVE-2025-65118)، والتي تخدع خدمات المنتج لتحميل أكواد خبيثة من مسارات غير محمية. وفي سياق متصل، تم تصنيف ثغرات أخرى بدرجة مرتفع، مثل الثغرة الناتجة عن غياب ضوابط الوصول (ACLs) التي تسمح بتضمين أكواد داخل ملفات المشاريع، وثغرة استخدام كائنات OLE داخل الرسوم التوضيحية لتصعيد الصلاحيات، وصولاً إلى الثغرة (CVE-2025-64769) التي كشفت عن نقل البيانات الحساسة بنصوص واضحة غير مشفرة، تجعلها عرضة للاعتراض في هجمات رجل في المنتصف.
استراتيجيات المعالجة والوقاية لضمان استمرارية الأعمال
وضعت AVEVA مساراً تقنياً واضحاً لمواجهة هذه المخاطر، يتمثل في ضرورة الترقية الفورية للمنتج إلى الإصدار 2025 أو ما يليه، حيث يتضمن هذا التحديث الإصلاحات الشاملة لكافة الفجوات المكتشفة. ولحين إتمام عملية الترقية، وضعت الشركة مجموعة من التدابير الوقائية المؤقتة التي تهدف إلى تقليل مساحة الهجوم؛ ومن أبرزها ضبط قواعد الجدار الناري لحصر الوصول إلى خدمة taoimr والمنافذ (8888/8889) على المصادر الموثوقة فقط، وتطبيق قيود صارمة على مجلدات التثبيت لضمان عدم قدرة غير المخولين على تعديل الملفات.
كما شددت التوصيات على أهمية حماية سلسلة العهدة لملفات المشاريع خلال كافة مراحل الإنشاء والتداول، وتطبيق نصائح CISA العامة التي تدعو إلى عزل شبكات التكنولوجيا التشغيلية (OT) تماماً عن شبكات الأعمال والإنترنت العام.
والجدير بالذكر أن اكتشاف هذه الثغرات جاء ثمرة تعاون بين الباحث Christopher Wu من شركة Veracode وشركة AVEVA خلال اختبار اختراق مخطط له، وعلى الرغم من عدم وجود أدلة على استغلال هذه الثغرات بشكل نشط حتى الآن، إلا أن طبيعة الثغرات الحرجة تحتم على المؤسسات التحرك السريع لتأمين أنظمتها قبل وقوع أي هجمات محتملة.
