أعلن معهد الابتكار التكنولوجي، ذراع الأبحاث التطبيقية لمجلس أبحاث التكنولوجيا المتقدمة في أبوظبي، وشركة «Raelize» للأمن السيبراني، اكتشاف ثغرة جديدة في الإصدار الثالث من رقاقة «ESP32» الخاصة بشركة إسبرسيف، وذلك من خلال إطلاق هجوم حقن الأخطاء الكهرومغناطيسية الذي يهدف إلى الحصول على إمكانية وصول غير مصرحة إلى «وضع التنزيل» الخاص بذاكرة القراءة (ROM).
وتعد هذه أول تجربة ناجحة لتنفيذ هجوم حقن الأخطاء، حيث تم تجاوز كل من النموذجين الأمنيين «Secure Boot» و«Flash Encryption» من خلال استغلال ثغرة موجودة في هدف تم تحصينه خصيصاً ضد هجمات حقن الأخطاء. وإسبرسيف شركة رائدة متعددة الجنسيات تختص في أشباه الموصلات وقامت بتصميم رقاقات منخفضة التكلفة منها رقاقة «ESP32» المستخدمة في ملايين الأجهزة والمزودة بميزات أمنية عالية الفعالية مثل نظامي «Secure Boot» و«Flash Ecryption»، علماً أن السنوات الأخيرة شهدت الإبلاغ عن الكثير من الثغرات الأمنية التي تسببت بها هجمات حقن الأهداف.
وبعد الهجوم الذي نظمه المعهد و«Raelize»، أقرت شركة إسبرسيف بالثغرة الأمنية ونشرت المذكرة الأمنية (AR2023-005)، وبالتالي أصدرت هيئة الثغرات الأمنية والخروقات الشائعة الثغرة الأمنية«CVE-2023-35818»، علماً أن هذا الرمز يشير إلى هذه الثغرة الأمنية ا ضمن قاعدة بيانات الثغرات الأمنية والخروقات الشائعة، والتي تمثل قائمة عامة تستعرض الثغرات الأمنية التي تم الكشف عنها. وطورت إسبرسيف النسخة الثالثة من رقاقة «ESP32» في البداية لتكون حلاً محكماً ضد هجمات حقن الأخطاء، وفي المقابل اشترك معهد الابتكار التكنولوجي وشركة «Raelize» لتنفيذ هذا الهجوم الإلكتروني الجديد ضد الرقاقة الحديثة.
وقالت الدكتورة نجوى الأعرج، كبيرة الباحثين لدى مركز بحوث علم التشفير التابع لمعهد الابتكار التكنولوجي: يسرنا المساهمة في إثراء قاعدة بيانات الثغرات الأمنية والخروقات الشائعة من خلال عملنا هذا، ما يثبت جهودنا المستمرة لتعزيز أنظمة التشفير لدينا، ويعود الفضل إلى مختبرنا المتقدم لبحوث أمن الأجهزة، واحد من المختبرات القلة القادرة على تنفيذ مثل هذه الهجمات والتحليلات المتقدمة في منطقة الشرق الأوسط وشمال أفريقيا.