حثت شركة Rockwell Automation الأمريكية المتخصصة في أنظمة التحكم الصناعية (ICS) المستخدمين في جميع أنحاء العالم على القيام بذلك فصل أجهزتهم عن الإنترنت المواجه للجمهور، مشيرًا إلى التوترات الجيوسياسية والزيادة الكبيرة في نشاط جهات التهديد التي تستهدف أجهزتها من خلال عدد من نقاط الضعف والتعرضات الشائعة المعروفة (CVEs).
ويرافق تحذير الشركة التي يقع مقرها في ميلووكي بولاية ويسكونسن تنبيه صادر عن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، وتنصح المستخدمين باتباع نصائحها.
وقالت الشركة: “تصدر شركة Rockwell Automation هذا الإشعار الذي يحث جميع العملاء على اتخاذ إجراءات فورية لتقييم ما إذا كانت لديهم أجهزة تواجه الإنترنت العام، وإذا كان الأمر كذلك، قم بإزالة هذا الاتصال بشكل عاجل للأجهزة غير المصممة خصيصًا للاتصال بالإنترنت العام”.
“بما يتوافق مع إرشادات Rockwell Automation لجميع الأجهزة غير المصممة خصيصًا للاتصال العام بالإنترنت (على سبيل المثال، عروض السحابة والحافة)، يجب على المستخدمين عدم تكوين أصولهم مطلقًا لتكون متصلة مباشرة بالإنترنت العام.
وأضاف روكويل: “إن إزالة هذا الاتصال كخطوة استباقية تقلل من سطح الهجوم ويمكن أن تقلل على الفور من التعرض للنشاط السيبراني غير المصرح به والخبيثة من جهات التهديد الخارجية”.
وتحث المنظمة أيضًا المستخدمين على إيلاء اهتمام خاص لمعالجة سلسلة من سبع نقاط ضعف معروفة في مختلف المنتجات.
هذه العيوب هي CVE-2021-22681 في Logix Controllers؛ CVE-2022-1159 في Studio 5000 Logix Designer؛ CVE-2023-3595 في وحدات الاتصال المحددة؛ CVE-2023-46290 في منصة خدمات FactoryTalk؛ CVE-2023-21914 في FactoryTalk عرض ME؛ CVE-2024-21915 في منصة خدمة FactoryTalk، وCVE-2024-21917، أيضًا في منصة خدمة FactoryTalk. تتوفر تفاصيل نقاط الضعف هذه في الاستشارة المرتبطة.
كين دونهام، مدير التهديدات السيبرانية في كواليس وقالت وحدة أبحاث التهديدات (TRU): “يوصي تنبيه Rockwell Automation بالإزالة الفورية لأي جهاز مثبت حاليًا باتصال عام بالإنترنت، والذي لم يتم تصميمه من أجله. قد يبدو هذا منطقيًا، ولكن في كثير من الأحيان في عالم “مرحبًا، إنه يعمل”، تجد المؤسسات نفسها في موقف يتم فيه تثبيت الأجهزة والبرامج وتكوينها بطرق غير موصى بها وتكون عرضة للهجوم.”
وحث دونهام عملاء Rockwell على إيلاء اهتمام وثيق، قائلاً: “تعد أنظمة التحكم الصناعية الآلية (ICS) هدفًا رئيسيًا للهجوم من قبل الخصوم الذين يرغبون في التأثير على البنية التحتية الحيوية، خاصة في عام شديد التقلب من الانتخابات والحرب”.
النبذة وأضافت نائبة رئيس الأبحاث إليسا كوستانتي: “على الرغم من عقود من الجهود، لا يزال التهديد الذي تتعرض له البنية التحتية الحيوية عبر أنظمة التحكم الصناعية مرتفعًا بشكل مثير للقلق، حيث صنفت شركة Forescout Research – Vedere Labs هذه الأنظمة على أنها خامس أخطر في التكنولوجيا التشغيلية.
“على الرغم من أن الهجمات السيبرانية تربط بين العالمين الرقمي والمادي، مما يؤثر على صحتنا وسلامتنا الجسدية، إلا أن الاستشارات غالبًا ما تعجز عن تقديم تقييمات شاملة للمخاطر. فورسكوت مؤخرا اكتشف 90.000 نقطة ضعف بدون معرف CVE وحددت وحدات التخزين المتصلة بالشبكة (NAS)، وكاميرات IP، وأجهزة التشغيل الآلي للمباني، ومعدات VoIP باعتبارها أكثر أجهزة التشغيل التشغيلي وإنترنت الأشياء تعرضًا للاستغلال.
“من المهم أن نعتمد استراتيجيات دفاعية تتمحور حول الشبكة، وتقوية الأجهزة، وتقسيم الشبكات، ومراقبة الأنظمة بيقظة للتخفيف من تهديدات التكنولوجيا التشغيلية المتزايدة وتأمين جميع الأجهزة المُدارة وغير المُدارة. والآن هو الوقت المناسب لمعالجة هذا الأمر ومنع وقوع هجوم جماعي محتمل”.
ويأتي تحذير روكويل وسط شعور متزايد بالانزعاج في صناعة الأمن السيبراني بشأن أنشطة عمليات التجسس المدعومة من الدولة. مثل إعصار فولت الصيني، والتي من المعروف أنها استهدفت عمليات البنية التحتية الحيوية – المستخدمين بكثرة لتقنية ICS – للتطفل، ووفقًا للسلطات الأمريكية، ربما تضع الأساس لهجوم إلكتروني كبير متعدد الجوانب في حالة تدهور الوضع الجيوسياسي.
وفي تطور ذي صلة، أفاد باحثون في مانديانت اليوم حول الاستخدام المتزايد لشبكات صناديق الترحيل التشغيلية، أو ORB، من قبل الجهات الفاعلة التي تهدد الدولة الصينية.
شبكات ORB هي شبكات قصيرة العمر ومتكررة بشكل متكرر تعمل إلى حد ما مثل شبكات الروبوتات التقليدية، وتتألف إلى حد كبير من خوادم خاصة افتراضية يستأجرها المقاولون، وأجهزة إنترنت الأشياء (IoT) المعرضة للخطر وحتى أجهزة توجيه المستهلك. نظرًا لأنه يتم تغييرها بشكل متكرر، فإن شبكات ORB تجعل ما يسمى بمؤشر انقراض التسوية (IoC) – حيث يتوقف استخدام IoC المعروف أو يتوقف صلاحيته – مصدر قلق أكبر، مما يجعل المدافعين يكافحون من أجل مواكبة ذلك.
وقال مانديانت إنه على الرغم من أن الأجرام السماوية ليست جديدة في حد ذاتها، إلا أن اعتمادها الحماسي في مجتمع التجسس الإلكتروني الصيني يشير إلى الاستثمار المتزايد في الحرف التجارية المتطورة.
