كشف باحثون في الأمن السيبراني عن ثغرتين حرجتين تصيبان منتجات Red Lion Sixnet من وحدات المحطة الطرفية البعيدة RTU وتسمحان بتنفيذ أوامر بامتيازات الجذرroot إذا استغلتا بنجاح، ما يمنح المهاجمين قدرة على السيطرة الكاملة على الأجهزة الصناعية. تحمل الثغرتان رموز CVE-2023-40151 وCVE-2023-42770 وقد نالتا تقييم CVSS 10.0 الأعلى خطورة.
أوضحت مجموعة الباحثين Claroty Team 82 في تقرير نشرته الثلاثاء أن الثغرات تؤثر على وحدتي Red Lion SixTRAK وVersaTRAK RTU وتسمح لمهاجم غير مصرح له بتنفيذ أوامر بصلاحيات root. وتستخدم هذه الوحدات في أتمتة المصانع وجمع البيانات والتحكم في أنظمة التشغيل الصناعية، لا سيما في قطاعات الطاقة والمياه ومحطات معالجة المياه والنقل والمرافق والصناعة التحويلية.
تهيئ أجهزة Red Lion Sixnet أداة ويندوز تسمى Sixnet IO Tool Kit، وتستخدم بروتوكولاً خاصاً باسم Sixnet Universal للتواصل بين الأداة والوحدات. فوق هذه الآلية توجد طبقة لإدارة أذونات المستخدم تسمح بإدارة الملفات والحصول على معلومات المحطة وإصدار نداءات لاسترجاع إصدار نواة لينوكس وإصدار الإقلاع عبر بروتوكول UDP.
تعمل الثغرتان كما يلي:
- CVE-2023-42770 عبارة عن تجاوز لمتطلبات المصادقة ينشأ لأن برنامج RTU يستمع إلى نفس المنفذ رقم 1594 عبر UDP وTCP ويطرح تحدي المصادقة فقط عند استقبال رسائل عبر UDP بينما يقبل الرسائل الواردة عبر TCP دون طلب مصادقة.
- CVE-2023-40151 ثغرة تنفيذ تعليمات برمجية عن بعد تستغل دعم Sixnet Universal Driver المدمج لتنفيذ أوامر شل لينوكس ما يتيح تشغيل كود عشوائي بصلاحيات root.
يمكن للمهاجمين ربط الثغرتين لسلوك متسلسل يتخطى ضوابط المصادقة ثم ينفذ أوامر على الجهاز عن بعد. وتوضح Red Lion في بيان نصي سابق صدر في يونيو 2025 أن وحدات SixTRAK وVersaTRAK التي تمكن المصادقة للمستخدمين UDR-A ستقبل أي رسالة UDR تصل عبر TCP/IP دون أن تفرض عليها تحدي المصادقة، وأنه عندما لا تكون مصادقة المستخدم مفعلة فإن الشل قادر على تنفيذ أوامر بامتيازات قصوى.
نصحت Claroty ومصادر أمنية أخرى بضرورة تطبيق التصحيحات فور توفرها، وتفعيل مصادقة المستخدم في وحدات Red Lion RTU، وقطع الوصول عبر TCP إلى الوحدات المتأثرة كإجراء تخفيف فوري.
تتأثر أجهزة ومنتجات بحسب تحذير صادر عن وكالة الأمن السيبراني والبنية التحتية CISA في نوفمبر 2023 تشمل النماذج والإصدارات التالية:
- ST-IPm-8460 بالإصدار الثابت 6.0.202 وما بعده
- ST-IPm-6350 بالإصدار الثابت 4.9.114 وما بعده
- VT-mIPm-135-D بالإصدار الثابت 4.9.114 وما بعده
- VT-mIPm-245-D بالإصدار الثابت 4.9.114 وما بعده
- VT-IPm2m-213-D بالإصدار الثابت 4.9.114 وما بعده
- VT-IPm2m-113-D بالإصدار الثابت 4.9.114 وما بعده
حذر الباحثون من أن وحدات Red Lion RTU شائعة في بيئات الأتمتة الصناعية، وأن مهاجماً قادراً على الوصول إلى هذه الأجهزة وتنفيذ أوامر بصلاحيات الجذر قد يتسبب في تعطيل العمليات أو إلحاق أضرار تشغيلية جسيمة بالبنى التحتية الحيوية. وأكدت التوصيات العملية ضرورة تحديث الفيرموير فور صدور التصحيحات، تفعيل آليات المصادقة، تقييد الوصول الشبكي إلى منافذ الخدمة، ومراقبة حركة الشبكة بحثاً عن رسائل UDR المشبوهة عبر بروتوكولات TCP وUDP.
