أعلنت شركة SEC Consult عن اكتشاف أكثر من 20 ثغرة أمنية (من CVE-2025-59090 حتى CVE-2025-59109) في أنظمة التحكم الفيزيائي بالدخول التابعة لشركة Dormakaba، وهي أنظمة تُستخدم على نطاق واسع في مؤسسات كبرى لإدارة الوصول إلى المباني والأبواب. هذه الثغرات كان من الممكن أن تسمح للمهاجمين بفتح الأبواب عن بُعد، وإعادة تهيئة وحدات التحكم والأجهزة الطرفية المرتبطة بها دون الحاجة إلى أي مصادقة مسبقة.
طبيعة الثغرات وتأثيرها المحتمل
الثغرات شملت مجموعة واسعة من المشكلات التقنية، منها كلمات مرور ضعيفة، بيانات اعتماد ومفاتيح تشفير مدمجة مسبقاً (Hard-coded)، غياب آليات المصادقة، توليد كلمات مرور غير آمن، تصعيد الامتيازات محلياً، كشف البيانات، ثغرات في مسار الملفات (Path Traversal)، إضافة إلى إمكانية تنفيذ أوامر عن بُعد (Command Injection). هذه الثغرات مجتمعة تعني أن أي مهاجم كان بإمكانه استغلال النظام بطرق متعددة لفتح أبواب عشوائية أو التلاعب بالبنية التحتية الأمنية للمؤسسات.
تصريحات الخبراء الأمنيين
في بيان رسمي، قالت شركة SEC Consult: “هذه الثغرات تتيح للمهاجم فتح أبواب عشوائية بطرق متعددة، وإعادة تهيئة وحدات التحكم والأجهزة الطرفية المتصلة دون أي مصادقة مسبقة، وأكثر من ذلك بكثير”. هذا التصريح يعكس خطورة الموقف، حيث إن أنظمة التحكم الفيزيائي تُعتبر خط الدفاع الأول للمؤسسات، وأي اختراق لها يعني تهديداً مباشراً لأمن الأفراد والممتلكات.
غياب الأدلة على الاستغلال الفعلي
رغم خطورة الثغرات، لم تُسجل أي أدلة على استغلالها في هجمات فعلية حتى الآن. هذا الجانب يخفف من حدة القلق، لكنه في الوقت نفسه يسلط الضوء على أهمية سرعة الاستجابة من قبل الشركات والمؤسسات التي تعتمد على أنظمة Dormakaba، لضمان تحديث الأنظمة وسد الثغرات قبل أن تصبح هدفاً لمجرمي الإنترنت.
