شهدت الأشهر الماضية موجة متصاعدة من الهجمات السيبرانية التي تستغل ثغرة أمنية حرجة تم إصلاحها مؤخرًا في منصة Erlang/Open Telecom Platform (OTP) SSH، حيث رُصدت محاولات الاستغلال منذ أوائل مايو 2025، مع تركيز حوالي 70% من الهجمات على الجدران النارية التي تحمي شبكات التكنولوجيا التشغيلية (OT).
تفاصيل الثغرة الأمنية CVE-2025-32433
تحمل الثغرة الرمز CVE-2025-32433 بدرجة خطورة قصوى (CVSS 10.0)، وتتمثل في مشكلة غياب المصادقة، ما يسمح للمهاجم الذي يمتلك وصولًا شبكيًا إلى خادم Erlang/OTP SSH بتنفيذ أوامر برمجية عشوائية. وقد تم إصدار التحديثات الأمنية في أبريل 2025 عبر الإصدارات OTP-27.3.3 وOTP-26.2.5.11 وOTP-25.3.2.20.
وفي يونيو 2025، أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هذه الثغرة ضمن قائمة الثغرات المستغلة فعليًا (KEV) بعد توفر أدلة على استخدامها في هجمات نشطة.
خطورة الاستغلال على البنية التحتية
أوضح باحثو وحدة 42 التابعة لشركة Palo Alto Networks أن تنفيذ هذه الثغرة يهدد بشكل مباشر أصول الشبكات المعرضة، حيث إن بروتوكول SSH في Erlang/OTP مسؤول عن تأمين الاتصالات، ونقل الملفات، وتنفيذ الأوامر. واستغلال الخلل يسمح بتنفيذ تعليمات برمجية دون الحاجة إلى بيانات اعتماد، ما يشكل خطرًا جسيمًا.
القطاعات والدول المستهدفة
أظهرت تحليلات بيانات الهجمات أن أكثر من 85% من محاولات الاستغلال استهدفت قطاعات الصحة، والزراعة، والإعلام والترفيه، والتكنولوجيا المتقدمة، في دول منها الولايات المتحدة، وكندا، والبرازيل، والهند، وأستراليا.
وفي السيناريوهات التي تم رصدها، يتبع استغلال الثغرة استخدام المهاجمين لـ reverse shells للحصول على وصول غير مصرح به عن بُعد إلى الشبكات المستهدفة، دون تحديد الجهة المسؤولة حتى الآن.
تكتيكات الهجوم وانتشار الاستهداف
أشارت وحدة 42 إلى أن التعرض الواسع على المنافذ الصناعية المتخصصة يكشف عن مساحة هجوم عالمية كبيرة لشبكات التكنولوجيا التشغيلية. كما بينت أن الهجمات تأتي على شكل موجات قصيرة وعالية الكثافة، مع تركيز كبير على الشبكات التشغيلية ومحاولات للوصول إلى الخدمات المكشوفة عبر المنافذ الصناعية والمنافذ التقليدية لتكنولوجيا المعلومات.
