آسیبپذیری مبدل سریال به IP (Serial‑to‑IP Converter) بهعنوان یکی از بحرانیترین ضعفهای اخیر در حوزه ICS/OT، توجه محققان امنیت سایبری را به خود جلب کرده است. پژوهشهای اخیر شرکت Forescout نشان میدهند که مجموعهای از آسیبپذیریها در محصولات شرکتهای Lantronix و Silex میتواند به مهاجمان امکان اجرای کد از راه دور (RCE)، تزریق فرمان سیستمعامل، تصاحب دستگاه و حملات انکار سرویس (DoS) را بدهد. این آسیبپذیریها که تحت عنوان BRIDGE:BREAK شناسایی شدهاند، در محیطهای مانند فناوری عملیاتی (OT)، سیستمهای کنترل صنعتی (ICS) و زیرساختهای حیاتی همچون صنایع انرژی، حملونقل و تجهیزات پزشکی اثرات قابل توجهی ایجاد میکنند. با توجه به استفاده گسترده از این تجهیزات، آسیبپذیری مبدل سریال به IP میتواند به یک بردار حمله مهم در شبکههای صنعتی تبدیل شود.
مبدل سریال به IP چیست و چرا نقش آن در ICS/OT حیاتی است؟
مبدل سریال به IP یا Serial Device Server دستگاهی سختافزاری است که تجهیزات قدیمی مبتنی بر پورت سریال را به شبکههای مدرن Ethernet/IP متصل میکند. این تجهیزات بهصورت گسترده در کارخانهها، مراکز درمانی، نیروگاهها، حملونقل و مخابرات به کار گرفته میشوند و نقشی حیاتی در اتصال سیستمهای قدیمی به شبکههای مدرن دارند. از تولیدکنندگان بزرگ این محصولات میتوان به Moxa، Digi، Advantech، Perle، Lantronix و Silex اشاره کرد. برخی از این شرکتها گزارش دادهاند که میلیونها عدد از این مبدلها در محیطهای عملیاتی مستقر است.
طبق بررسیهای Shodan، نزدیک به 20 هزار مبدل سریال به IP بهطور مستقیم در معرض اینترنت قرار دارند؛ موضوعی که سطح حمله بهشدت گستردهای ایجاد میکند.
شناسایی 20 آسیبپذیری جدید؛ زنجیره BRIDGE:BREAK
بررسیهای امنیتی Forescout روی محصولات Lantronix و Silex باعث شناسایی 20 آسیبپذیری جدید شده است؛ مجموعهای که در قالب BRIDGE:BREAKدستهبندی و ردیابی میشود. این آسیبپذیریها شامل موارد زیر هستند:
- تزریق فرمان سیستم عامل
- اجرای کد از راه دور (RCE)
- دستکاری فریمور
- تصاحب دستگاه
- حملات انکار سرویس (DoS)
- دور زدن احراز هویت
- افشای اطلاعات
- آپلود فایل دلخواه
بسیاری از این ضعفها حتی بدون احراز هویت قابل بهرهبرداری هستند و همین موضوع ریسک آنها را دوچندان میکند.
نقش OSINT در تشدید بهرهبرداری از آسیبپذیری مبدل سریال به IP
محققان هشدار میدهند که مهاجمان میتوانند از تکنیکهای اطلاعات منبع باز (OSINT) برای بهدست آوردن اطلاعات حساس درباره این تجهیزات استفاده کنند. برای مثال، مهاجم قادر است موارد زیر را شناسایی کند:
- آدرسهای IP داخلی
- مدل دستگاه و اطلاعات تولیدکننده
- تصاویر تجهیزات موجود در تأسیسات حیاتی
این اطلاعات میتواند برای طراحی حملات هدفمند علیه شبکههای صنعتی مورد استفاده قرار گیرد.
سناریوهای حمله؛ پیامدهای واقعی آسیبپذیری مبدل سریال به IP
محققان Forescout چند سناریوی واقعی را برای نشان دادن تأثیر آسیبپذیری مبدل سریال به IP ارائه کردهاند:
سناریو اول: دستکاری دادههای سنسورها
در محیطهای صنعتی یا پزشکی، مهاجم میتواند:
- داده سنسورهای محیطی را تغییر دهد.
- وضعیتهای بحرانی را از دید اپراتور پنهان کند.
- اطلاعات نادرست به سیستمهای مانیتورینگ ارسال کند.
این نوع حمله میتواند مستقیماً باعث ریسک عملیاتی و تهدید ایمنی شود.
سناریو دوم: حمله DoS در بیمارستانها از طریق فریمور مخرب
در یک سناریوی دیگر، مهاجم میتواند با ارسال فریمور مخرب، کل شبکه تجهیزات پزشکی را مختل کند. پس از فعالسازی فریمور آلوده، دستگاهها پاسخدهی در شبکه را متوقف میکنند.
پیامدهای احتمالی:
- توقف ارسال اطلاعات دستگاههای آزمایشگاهی
- قطع کنترل روشنایی اتاق عمل
- اختلال در کالیبراسیون پمپ تزریق (Infusion Pump Calibration)
- قطع ارتباط سنسورهای محیطی
- از دست رفتن اتصال شبکه مانیتورهای حیاتی بیمار
این موارد نشان میدهد که آسیبپذیری مبدل سریال به IP تنها یک تهدید IT نیست؛ بلکه بهطور مستقیم سلامت بیماران و ایمنی صنعتی را تهدید میکند.
انتشار پچ امنیتی برای BRIDGE:BREAK
پس از انتشار گزارش Forescout، شرکتهای Silex و Lantronix بهروزرسانیهای امنیتی برای محصولات خود منتشر کردند. همچنین سازمان CISA هشدار رسمی درباره این آسیبپذیریها صادر کرده است.
بهروزرسانی سریع فریمور و محدودسازی دسترسی شبکهای از مهمترین اقدامات برای کاهش ریسک آسیبپذیری مبدل سریال به IP محسوب میشود.
حملات واقعی علیه مبدلهای سریال به IP
تجهیزات مبدلهای سریال به IP پیشتر در چند حمله مهم هدف قرار گرفتهاند:
- حمله سایبری روسیه به شبکه برق اوکراین در سال 2015
- حملات اخیر علیه تأسیسات انرژی در لهستان
این حملات ثابت میکنند که آسیبپذیری مبدل سریال به IP میتواند نقطه ورود کلیدی برای نفوذ به زیرساختهای حیاتی باشد.
جمعبندی
آسیبپذیری مبدل سریال به IP یک تهدید جدی در حوزه ICS/OT است و میتواند اثرات عملیاتی، امنیتی و ایمنی شدید ایجاد کند. بهروزرسانی فوری، محدودسازی دسترسی شبکهای و مانیتورینگ مستمر، سه اقدام ضروری برای مقابله با آن هستند.
