قراصنة يستهدفون أجهزة التوجيه الصناعية Four-Faith لإنشاء شبكات روبوتية عملاقة

تشهد شبكة الإنترنت تصعيدًا خطيرًا في الهجمات السيبرانية، حيث يقوم قراصنة باستهداف أجهزة التوجيه الصناعية من طراز Four-Faith F3x36 لإنشاء شبكات روبوتية (بوت نت) ضخمة. تستغل هذه الهجمات ثغرة أمنية حرجة ومكتشفة حديثًا تحمل الرمز CVE-2024-9643، والتي تسمح بالتحايل على آليات المصادقة والحصول على صلاحيات إدارية كاملة على الأجهزة المخترقة. تشير تقارير الباحثين الأمنيين، مثل تلك الصادرة عن CrowdSec، إلى ارتفاع حاد في محاولات الاستغلال، مما يؤكد تحول التهديد من مجرد عمليات استكشاف أولية إلى إساءة استخدام واسعة النطاق تتطلب استجابة عاجلة وفعالة من قبل المؤسسات حول العالم.

Hackers Hijacking Four-Faith Industrial Routers for Botnet Activity
Hackers Hijacking Four-Faith Industrial Routers for Botnet Activity
Hackers Hijacking Four-Faith Industrial Routers for Botnet Activity
صورة توضيحية: هجمات سيبرانية تستهدف أجهزة التوجيه الصناعية Four-Faith.

تفاصيل الثغرة الأمنية CVE-2024-9643

تكمن خطورة الثغرة الأمنية CVE-2024-9643 في كونها تسمح بتجاوز المصادقة في أجهزة التوجيه الخلوية الصناعية Four-Faith F3x36. ينبع هذا الخلل من وجود بيانات اعتماد إدارية مدمجة مسبقًا (hard-coded credentials) في واجهة الإدارة عبر الويب للجهاز. وهذا يعني أن المهاجمين لا يحتاجون إلى تخمين كلمات المرور أو تجاوزها بأساليب معقدة، بل يمكنهم استخدام هذه البيانات المصدقة الثابتة لإرسال طلبات HTTP مصممة خصيصًا إلى نقاط نهاية مثل /Status_Router.asp، وبالتالي الحصول على وصول إداري كامل دون الحاجة إلى مصادقة صحيحة.

بتقييم CVSS يبلغ 9.8 من أصل 10، تُصنف هذه الثغرة على أنها حرجة للغاية. تمنح هذه الثغرة للمهاجمين قدرات واسعة النطاق، تشمل:

  • تجاوز آليات تسجيل الدخول والحصول على امتيازات إدارية.
  • تعديل إعدادات الجهاز وتكوينات الشبكة بشكل كامل.
  • استخراج البيانات التشغيلية الحساسة المخزنة على الجهاز.
  • تأسيس سيطرة دائمة على الجهاز المخترق، مما يجعله جزءًا من بنية تحتية أكبر.

لقد أدت توفر قوالب الاستغلال المتاحة للجمهور، بما في ذلك برنامج Nuclei النصي للكشف عن الثغرة، إلى تبسيط عملية المسح والاستغلال الآلي بشكل كبير. وهذا يفسر الانتشار السريع للهجمات واتساع نطاقها في فترة وجيزة.

تصاعد الهجمات وإنشاء شبكات البوت نت

على الرغم من الكشف عن الثغرة في 4 فبراير 2025، إلا أن الاستغلال الفعلي لها في العالم الحقيقي بدأ في 20 أبريل 2026. وفقًا لبيانات تتبع CrowdSec، فقد تورط ما لا يقل عن 139 عنوان IP فريدًا في الهجمات حتى تاريخ 18 مايو من نفس العام. ونظرًا للزيادة السريعة في النشاط العدواني، أعيد تصنيف هذه المشكلة في مرحلة "الاستغلال الجماعي" في 12 مايو 2026، مما يشير إلى تحول الهجمات من محاولات فردية إلى حملات منسقة ومنظمة تستهدف أعدادًا كبيرة من الأجهزة.

الهدف الرئيسي الذي لوحظ في 76% من هذه الهجمات هو الاستيلاء على البنية التحتية. بمجرد اختراق أجهزة التوجيه، يتم دمجها في شبكات روبوتية (بوت نت)، مما يمنح المهاجمين القدرة على تنفيذ مجموعة واسعة من الأنشطة الضارة، منها:

  • إطلاق هجمات الحرمان من الخدمة الموزعة (DDoS) التي تستهدف تعطيل الخدمات والمواقع الإلكترونية.
  • وكيل حركة المرور الضارة لإخفاء مصادر المهاجمين الحقيقية، مما يجعل تتبعهم أكثر صعوبة.
  • استخدام الأجهزة المخترقة كقواعد انطلاق للحركة الجانبية داخل الشبكات المستهدفة، مما يسهل الوصول إلى أنظمة أكثر حساسية.

تنتشر هذه الحملة عالميًا، حيث تم تحديد مصادر الهجمات في المملكة المتحدة وألمانيا والولايات المتحدة وهولندا، مما يشير إلى عمليات مسح آلية واسعة النطاق لا تستهدف منطقة جغرافية بعينها، بل تبحث عن أي جهاز ضعيف يمكن استغلاله.

لماذا تُعد أجهزة التوجيه الصناعية أهدافًا مثالية؟

تُستخدم أجهزة التوجيه Four-Faith F3x36 على نطاق واسع في البيئات الصناعية والنائمة، بما في ذلك المستودعات ومحلات البيع بالتجزئة والمرافق الخدمية والمكاتب الفرعية. غالبًا ما تعمل هذه الأجهزة على حافة الشبكة، وهي مناطق الاتصال بين الشبكة الداخلية والإنترنت الخارجي. ما يجعلها أهدافًا مثالية هو أنها نادرًا ما يتم تحديثها أو مراقبتها عن كثب.

لا يقتصر الأمر على توفير الوصول الدائم للمهاجمين، بل يسمح جهاز التوجيه المخترق أيضًا للمهاجمين باعتراض حركة المرور والتوغل بشكل أعمق في الشبكات الداخلية للمؤسسة. في كثير من الحالات، تصبح هذه الأجهزة أصولًا طويلة الأمد في بنية تحتية لشبكات البوت نت بسبب ضعف الرؤية وضعف ممارسات التصحيح والتحديث. يرى القراصنة في هذه الأجهزة "بوابة خلفية" ثابتة وموثوقة لشن هجمات مستقبلية أو بيع الوصول إليها لأطراف أخرى.

ماذا يعني هذا لك؟

إذا كانت مؤسستك تستخدم أجهزة التوجيه الصناعية، وخاصة من طراز Four-Faith F3x36، فإن هذا التهديد يعني مخاطر جسيمة قد تؤثر على استمرارية العمليات وسلامة البيانات. يمكن أن يؤدي اختراق هذه الأجهزة إلى عواقب وخيمة، تتجاوز مجرد تعطيل بسيط للخدمة، لتشمل ما يلي:

  • تعطيل العمليات الحيوية: يمكن أن تؤثر هجمات DDoS أو التلاعب بإعدادات الشبكة على تشغيل المصانع، سلاسل الإمداد، أو أنظمة التحكم الصناعية (ICS)، مما يؤدي إلى خسائر مالية فادحة.
  • سرقة البيانات الحساسة: قد يتمكن المهاجمون من الوصول إلى بيانات تشغيلية حساسة، معلومات تجارية سرية، أو بيانات العملاء، مما يعرض المؤسسة لانتهاكات الخصوصية ومشاكل قانونية ومالية.
  • الوصول إلى الشبكات الداخلية: يعتبر جهاز التوجيه المخترق نقطة دخول حاسمة للتوغل في قلب شبكة المؤسسة، مما يتيح للمهاجمين شن هجمات أكثر تعقيدًا وتدميرًا، مثل هجمات الفدية أو التجسس الصناعي.
  • سمعة المؤسسة: يمكن أن يؤدي اختراق كبير إلى تدهور سمعة المؤسسة وفقدان ثقة العملاء والشركاء، مما قد يستغرق سنوات للتعافي منه.

لذا، فإن فهم هذا التهديد واتخاذ إجراءات وقائية فورية ليس مجرد إجراء أمني، بل هو ضرورة استراتيجية لحماية أصولك الرقمية واستمرارية أعمالك.

التخفيف والدفاع: خطوات فورية للحماية

يجب على المؤسسات التي تستخدم أجهزة توجيه Four-Faith اتخاذ إجراءات فورية لحماية أنظمتها من هذا التهديد المتزايد. تشمل خطوات التخفيف والدفاع الرئيسية ما يلي:

  • تطبيق تحديثات البرامج الثابتة (Firmware Updates): يجب تطبيق أي تحديثات للبرامج الثابتة يقدمها البائع أو المورد دون تأخير. غالبًا ما تحتوي هذه التحديثات على تصحيحات للثغرات الأمنية الحرجة.
  • تقييد الوصول إلى واجهات إدارة جهاز التوجيه: يجب تقييد الوصول إلى واجهات الإدارة باستخدام جدران الحماية أو الشبكات الافتراضية الخاصة (VPNs). لا ينبغي أن تكون هذه الواجهات متاحة مباشرة من الإنترنت العام.
  • مراقبة حركة مرور الشبكة: يجب مراقبة حركة مرور الشبكة بشكل مستمر بحثًا عن أي اتصالات صادرة غير عادية أو سلوك مسح ضوئي مشبوه، والذي قد يشير إلى محاولات استغلال أو اختراق.
  • نشر أدوات الكشف عن التهديدات: استخدام أدوات الكشف عن التهديدات مثل CrowdSec لتحديد محاولات الاستغلال في الوقت الفعلي والاستجابة لها بسرعة.
  • حظر عناوين IP الضارة المعروفة: استخدام خلاصات معلومات التهديدات الأمنية (Threat Intelligence Feeds)، مثل قوائم الحظر من CrowdSec CTI، لحظر عناوين IP الضارة المعروفة.
  • ممارسات التكوين الآمن: يجب التأكيد على ممارسات التكوين الآمن للأجهزة الشبكية. فقد سبق أن سلط باحثون أمنيون، بمن فيهم خبراء من Cisco Talos وVulnCheck، الضوء على المخاطر التي تشكلها بيانات الاعتماد المدمجة مسبقًا في الأجهزة الشبكية، مما يؤكد أهمية عدم الاعتماد على الإعدادات الافتراضية.

الخاتمة

يمثل استغلال أجهزة التوجيه الصناعية من طراز Four-Faith تهديدًا متزايدًا يتطلب يقظة واستجابة سريعة من المؤسسات. مع استمرار المهاجمين في تسليح الأجهزة الطرفية المكشوفة، تظل أجهزة التوجيه الصناعية غير المحدّثة نقطة دخول عالية الخطورة لتوسيع شبكات البوت نت وشن هجمات سيبرانية أوسع نطاقًا. من خلال تطبيق التحديثات الأمنية، وتقييد الوصول، ومراقبة الشبكة بفعالية، يمكن للمؤسسات تقليل تعرضها لهذه التهديدات وحماية بنيتها التحتية الحيوية من الاستغلال. إن الأمن السيبراني هو عملية مستمرة تتطلب التزامًا دائمًا بالتحسين والتكيف مع المشهد المتغير للتهديدات.