الباحث الأردني محمد إدريس بني عامر يطور نموذج برهاني لثغرة خطيرة في نظام تحكم صناعي روسي InSAT MasterSCADA BUK-TS

خاص لـ ديرتنا – عمان – 14 مايو 2026 أعلن الباحث في أمن المعلومات الأردني محمد إدريس بني عامر عن تطوير نموذج برهاني (Proof of Concept – PoC) كامل وفعال لثغرة أمنية خطيرة جداً تحمل رقم CVE-2026-22553 في نظام InSAT MasterSCADA BUK-TS الروسي المتقدم.
يأتي هذا الإنجاز في وقت يشهد فيه العالم زيادة كبيرة في الهجمات السيبرانية على البنى التحتية الحيوية. فالأنظمة الصناعية والعسكرية أصبحت هدفاً رئيسياً للمهاجمين، وأي ثغرة فيها قد تؤدي إلى عواقب وخيمة. ومن هنا تأتي أهمية عمل الباحث الأردني، الذي يركز جهوده على كشف مثل هذه الثغرات وتطوير نماذج برهانية تساعد في رفع الوعي الأمني قبل وقوع أي كارثة.
نظام InSAT MasterSCADA BUK-TS ليس برنامج تحكم عادي، بل هو أحد الأنظمة الرئيسية المستخدمة في العديد من الدول للتحكم في عمليات حساسة وحيوية. ويُعتبر عموداً فقرياً للعديد من القطاعات الاستراتيجية، مما يجعل اكتشاف ثغرة فيه أمراً يستحق الاهتمام الكبير من قبل المسؤولين والمتخصصين في الأمن السيبراني حول العالم.
ما هو نظام InSAT MasterSCADA BUK-TS؟
هو نظام روسي متقدم للتحكم الصناعي (SCADA). يُستخدم على نطاق واسع في القطاعات الحساسة التالية:

المصانع الكبيرة والاستراتيجية
محطات توليد الكهرباء
أنظمة الدفاع الجوي والرادارات
التحكم في الطائرات المسيرة (الدرونز) والأسلحة الذكية
المنشآت العسكرية والصناعية الحيوية

ما هي الثغرة؟
الثغرة من نوع حقن أوامر النظام (OS Command Injection).
وببساطة شديدة: أي شخص (حتى بدون حساب أو كلمة مرور) يستطيع إرسال طلب بسيط من المتصفح، ثم يحصل على سيطرة كاملة على الجهاز.
هذا يسمح له بتنفيذ أي أوامر يريد، وفتح اتصال خلفي (Reverse Shell) بصلاحيات عالية.
الثغرة موجودة في جميع الإصدارات الحالية من النظام، ولم يتم إصدار أي تحديث أمني لإصلاحها حتى الآن.
ماذا طور الباحث؟
قام محمد إدريس بني عامر بتطوير نموذج برهاني عملي كامل يثبت أن الثغرة تعمل بنجاح. ويستطيع هذا النموذج:

تنفيذ أوامر على الجهاز بسهولة
فتح Reverse Shell تفاعلي كامل

وهذا النموذج متاح الآن على GitHub لأغراض تعليمية وبحثية فقط.
ما هي المخاطر؟
إذا استُغلت هذه الثغرة، قد تسبب أضراراً كبيرة جداً مثل:

إيقاف مصانع كاملة وخطوط الإنتاج
اختراق أنظمة الدفاع الجوي والأسلحة
سرقة بيانات استراتيجية حساسة
إصدار أوامر خاطئة تؤدي إلى حوادث خطيرة
تهديد الأمن القومي والبنى التحتية الحيوية

تصريح الباحث
قال محمد إدريس بني عامر:
«الحمد لله، قمت بتطوير هذا النموذج لأرفع الوعي الأمني حول أنظمة التحكم الصناعي. هذه الأنظمة مهمة جداً لكل الدول، ويجب على المسؤولين حمايتها قبل أن يستغلها أحد».
تنويه مهم
كل عمل الباحث تعليمي وبحثي بحت.
يحذر بشدة من استخدام هذا النموذج على أي نظام حقيقي، ويعتبر ذلك عملاً غير قانوني وخطر جداً.
ينصح المستخدمون والشركات بفصل النظام عن الإنترنت فوراً واتخاذ إجراءات حماية قوية.
المراجع والروابط:

PoC على GitHub: https://github.com/mbanyamer/CVE-2026-22553-InSAT-MasterSCADA-BUK-TS
حساب Exploit-DB: https://www.exploit-db.com/?author=12252
حساب GitHub: https://github.com/mbanyamer
صفحة الباحث على CXSecurity: https://cxsecurity.com/author/Mohammed+Idrees+Banyamer/1/
Instagram: @banyamer_security