آلاف من أجهزة التحكم الخاصة هانيويل مكشوفة على الإنترنت بدون مصادقة

 

 

قد يكون بالإمكان الوصول إلى آلاف من وحدات التحكم في إدارة المباني من هانيويل عبر الإنترنت دون الحاجة إلى تسجيل الدخول، مما يعرض عناصر التحكم المستندة إلى الويب والتي يمكن إساءة استخدامها لإجراء تغييرات غير مصرح بها وتفعيل عمليات إغلاق المشغل. 

 التقرير الاستشاري ZSL-2026-5979 (صدر في 2 مارس 2026) الذي يفصّل مشكلة الوصول غير المصادق عليها التي تؤثر على وحدات التحكم Honeywell Trend IQ4xx BMS في تكوين المصنع الافتراضي.

تُستخدم هذه العائلة على نطاق واسع لأتمتة المباني والتحكم في أنظمة التدفئة والتهوية وتكييف الهواء، وتدعم بروتوكولات Ethernet/TCP/IP وBACnet/IP، ويمكن توسيع نطاقها لتشمل تكوينات الإدخال/الإخراج الكبيرة في البيئات التجارية.

وفقًا للإرشادات، عندما لا يتم تكوين "وحدة المستخدم"، يتم عرض واجهة المستخدم الرسومية الكاملة لوحدة التحكم على الويب بدون مصادقة حسب التصميم.

في هذه الحالة، يعمل النظام ضمن سياق "مستخدم النظام (المستوى 100)" ذي الصلاحيات العالية، ما يعني أن أي شخص قادر على الوصول إلى واجهة HTTP يمكنه الحصول على صلاحيات القراءة والكتابة عبر واجهة المستخدم الرسومية على الويب.

ويكمن الخطر الرئيسي في أن المصادقة لا تُفعّل إلا بعد إنشاء مستخدم الويب عبر صفحة U.htm، التي تُفعّل وحدة المستخدم ديناميكيًا.

 وفقًا لوظيفة إنشاء المستخدم، يمكن الوصول إليها قبل المصادقة، مما يسمح لمهاجم عن بعد بإنشاء حساب إداري جديد وتمكين تسجيل الدخول باستخدام بيانات اعتماد يتحكم بها المهاجم.

وهذا يسمح للمهاجم بالسيطرة على عناصر التحكم في الوصول وحظر المشغلين الشرعيين بشكل فعال، سواء كانوا محليين أو عبر الإنترنت. 

كما يشير التقرير  إلى وجود نقطة نهاية مخفية بعنوان "نظرة عامة على التشخيص" يمكن الوصول إليها في /^.htm أو /%5E.htm، مما يزيد من الوظائف المكشوفة للمهاجم الذي يمكنه الوصول إلى الواجهة. 

  هذه المشكلة بمستوى خطورة 5/5، مشيرًا إلى آثارها المحتملة، بما في ذلك اختراق الأمان، والوصول غير المصرح به إلى النظام، وحالات حجب الخدمة.

وقد تمّت الإشارة علنًا إلى برنامج تجريبي (trendhmi.py)، ويتضمن مسار التنسيق حالة CERT/CC رقم VU#854120، حيث طلبت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تقييمًا من المورّد. 

أفاد فريق الاستجابة لحوادث أمن أنظمة هانيويل (PSIRT) بأن جهاز IQ4 مُصمم للاستخدام داخل المؤسسة وليس للاتصال المباشر بالإنترنت، وأوصى بتثبيته من قِبل فنيين مؤهلين والالتزام بتعليمات التركيب.

تشمل المنتجات المتأثرة: IQ4E، وIQ412، وIQ422، وIQ4NC، وIQ41x، وIQ3، وIQECO، مع إصدارات البرامج الثابتة المتأثرة التالية: 4.36 (الإصدار 4.3.7.9)، و4.34 (الإصدار 4.3.5.14)، و3.52 (الإصدار 3.5.3.15)، و3.50، و3.44.

 التخفيف والكشف

إزالة الاتصال المباشر بالإنترنت: حظر الوصول الوارد إلى واجهات الويب الخاصة بوحدات التحكم على مستوى الشبكة، وتقييد الإدارة باستخدام الشبكات الافتراضية الخاصة (VPN) وقوائم السماح، والسماح فقط بحركة مرور VPN.
تفعيل أمان وحدات التحكم بشكل صحيح: إنشاء وحدات المستخدمين وتطبيقها، ثم التحقق من استحالة الوصول غير المصرح به إلى واجهة المستخدم الرسومية (HMI) وU.htm.
تقسيم شبكات OT/BMS: عزل وحدات التحكم عن شبكات الشركة المسطحة ومسارات الوصول عن بُعد.
مراقبة أي نشاط HTTP مشبوه: الطلبات إلى U.htm أو /^.htm أو /%5E.htm، وإنشاء حسابات مستخدمين إداريين جدد بشكل غير متوقع.
الجرد والتدقيق: تحديد أجهزة Trend IQ4xx، والتأكد من البرامج الثابتة، ومراجعة إعدادات حقوق الوصول وفقًا لإرشادات أفضل الممارسات من Honeywell (TP201331).