كشف باحثون في مجال الأمن السيبراني عن حملة هجومية جديدة تستهدف ثغرة أمنية معروفة في كاميرات المراقبة التابعة لشركة Hikvision، تُعرف بثغرة CVE-2021-36260. تسمح هذه الثغرة بتنفيذ أوامر عن بُعد عبر إدخال أكواد خبيثة (Command Injection) في واجهة إدارة الجهاز، ما يفتح الباب أمام تنفيذ تعليمات نظامية قد تُعرّض الأنظمة بالكامل للخطر.
الهجمات المكتشفة حديثًا تستغل هذه الثغرة لربط نظام الضحية بمشاركة ملفات خارجية عبر بروتوكول NFS (Network File System)، ثم تنفيذ ملفات خبيثة من هذا المصدر الخارجي دون الحاجة إلى تحميلها فعليًا على النظام المحلي.
استخدام ملف mount كأداة لتنفيذ الهجوم
أوضح الباحثون أن المهاجمين يعتمدون على الأمر mount الموجود بشكل افتراضي في أنظمة Linux، لتوصيل دليل مشارك على شبكة الإنترنت (NFS share) إلى نظام التشغيل في الجهاز المخترق. فعلى سبيل المثال، يقوم المهاجم بإصدار أمر يطلب من الكاميرا ربط مجلد خارجي يقع على العنوان IP: 87.121.84[.]34، وتحديدًا في المسار /srv/nfs/shared، بالدليل المحلي ./b داخل نظام التشغيل.
بمجرد إتمام عملية الربط، يمكن تنفيذ ملفات خبيثة من الدليل المشترك مباشرة، مما يتيح للمهاجم السيطرة على الجهاز أو تثبيت برامج ضارة دون لفت الانتباه.
خطورة الاستغلال وسهولة التنفيذ
يُعد هذا النوع من الهجمات بالغ الخطورة، ليس فقط لسهولة تنفيذه على الأجهزة غير المُحدّثة، بل أيضًا لأنه يستغل أدوات نظامية موجودة أصلًا ولا يتطلب إدخال ملفات خارجية في البداية. ويكمن التهديد الأكبر في احتمالية استخدام هذه الطريقة للوصول إلى الشبكة الأوسع المرتبطة بالكاميرا، ما يجعل الأجهزة الأخرى عرضة للاختراق.
تحذيرات ودعوات للتحديث العاجل
ثغرة CVE-2021-36260 ليست جديدة، إذ كانت قد كُشفت في عام 2021، وسبق أن أصدرت شركة Hikvision تحديثًا أمنيًا لمعالجتها. إلا أن استمرار وجود عدد كبير من الأجهزة غير المُحدّثة في الميدان، لا سيما تلك المنتشرة في المنشآت العامة والخاصة، يجعل هذه الثغرة هدفًا سهلًا للجهات المهاجمة.
يوصي الخبراء بضرورة تحديث برمجيات كاميرات Hikvision فورًا إلى أحدث إصدار متاح، مع تقييد الوصول الخارجي إلى واجهات الإدارة، وتعطيل الخدمات غير الضرورية مثل NFS ما لم تكن هناك حاجة فعلية لها.
