تحذير من وكالة الأمن السيبراني الأميركية CISA بشأن ثغرات حرجة في أنظمة التحكم الصناعي

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) سلسلة من التحذيرات بشأن ثغرات أمنية في أنظمة التحكم الصناعي (ICS)، مشيرة إلى أن التهديدات تطال قطاعات حيوية عدة، منها المرافق التجارية والطاقة والنقل والصناعة، فضلاً عن قطاع الرعاية الصحية.

وشملت التحذيرات منتجات لشركات عالمية من بينها «Johnson Controls» و«ABB» و«Hitachi Energy» و«Schneider Electric»، مع تسجيل عدد من الثغرات الأمنية التي توصف بأنها «حرجة» وفقاً لتقييم نقاط التصنيف الموحد للثغرات (CVSS) بنسخته الرابعة.

وأشارت الوكالة إلى أن إحدى الثغرات سجلت درجة 9.1، وهي مصنفة على أنها حرجة، بينما صُنفت معظم الثغرات الأخرى بأنها عالية الخطورة، بدرجات تتراوح بين 8.2 و8.7. كما سُجلت ثغرة واحدة بدرجة 6.1، وُصفت بأنها متوسطة الخطورة.

وتضمنت نشرة التحذير «ICSA-25-196-01» تفاصيل عدة حول ثغرات تم تحديدها في حلول «Hitachi Energy Asset Suite»، خاصة في التطبيقات التالية:

• تطبيق «Asset Suite AnyWhere for Inventory» (AWI) لنظام «أندرويد» – الإصدارات 11.5 وما قبلها (الثغرات: CVE-2019-9262، CVE-2019-9429، CVE-2019-9256، CVE-2019-9290)
• إصدار «Asset Suite 9.6.4.4» (الثغرتان: CVE-2025-1484، CVE-2025-2500)
• إصدار «Asset Suite 9.7» (الثغرة: CVE-2025-2500)

وذكرت CISA أن استغلال هذه الثغرات بنجاح قد يتيح للمهاجم تنفيذ أوامر عن بُعد، أو الوصول غير المصرح به إلى الأجهزة المستهدفة، أو تصعيد الامتيازات دون إذن.

كما أشارت الوكالة إلى ثغرة تمس قطاع الرعاية الصحية، وحملت رقم CVE-2024-22774، حيث تؤثر على إصدار 9.1.2.7600 من برنامج التصوير البانورامي الرقمي «Panoramic Digital Imaging Software». وبلغ تصنيفها 8.5 على مقياس CVSS، ما يجعلها عالية الخطورة.

ووفقاً للتحذير، فإن البرنامج يعاني من ثغرة «الاختطاف الديناميكي للمكتبة» (DLL hijacking)، والتي تتيح للمهاجم الحصول على امتيازات نظام «NT Authority/SYSTEM» حتى لو كان يعمل كمستخدم عادي. ويعود السبب إلى وجود مكون برمجي (SDK) تابع لشركة «Oy Ajat Ltd» التي لم تعد توفر له الدعم.

ونوهت CISA بأنه لم تُسجل حتى الآن أي محاولات استغلال علنية لهذه الثغرة.

وفيما يلي قائمة التحذيرات المنشورة خلال الفترة من 15 إلى 17 يوليو 2025:

• ICSA-25-196-01: Hitachi Energy Asset Suite
• ICSA-25-196-02: ABB RMC-100
• ICSA-25-196-03: LITEON IC48A وIC80A لشواحن السيارات الكهربائية
• ICSA-25-037-02: Schneider Electric EcoStruxure (تحديث B)
• ICSA-25-140-08: Schneider Electric Modicon Controllers (تحديث A)
• ICSA-25-070-01: Schneider Electric Uni-Telway Driver (تحديث A)
• ICSA-25-198-01: Leviton AcquiSuite وEnergy Monitoring Hub
• ICSMA-25-198-01: برنامج Panoramic للتصوير الرقمي
• ICSA-24-191-05: نظام C●CURE 9000 من Johnson Controls (تحديث B)