استغلال ثغرة Zero-Day في Cisco Catalyst SD-WAN يمنح صلاحيات Root

مقدمة تحليلية

كشفت شركة Mandiant، التابعة لـ Google، عن تفاصيل مقلقة حول استغلال ثغرة أمنية عالية الخطورة، مُسجلة تحت المعرف CVE-2026-20245، في أنظمة Cisco Catalyst SD-WAN. يؤكد هذا الكشف أن الثغرة، التي تم الإعلان عنها مؤخرًا، كانت تُستغل كـ Zero-Day لمدة شهرين على الأقل قبل الكشف العام عنها. يُعد هذا الهجوم إشارة واضحة على تزايد استهداف البنية التحتية للشبكات المتطورة، مما يسلط الضوء على الفجوات الكبيرة في قدرات الكشف والاستجابة. تُمكن الثغرة، التي تحمل درجة خطورة CVSS تبلغ 7.8، مهاجمًا موثقًا محليًا من تنفيذ أوامر عشوائية بصلاحيات مرتفعة، وذلك من خلال تقديم ملف مصمم خصيصًا للنظام. وقد أكدت Cisco في وقت سابق من هذا الشهر علمها بالاستغلال، مشيرة إلى أن المهاجم يجب أن يتمتع بصلاحيات netadmin على النظام المتأثر لتنفيذ الهجوم بنجاح. استهدف هذا الحادث مزود خدمة اتصالات غير محدد، بهدف رفع صلاحيات حساب إداري مخترق إلى وصول كامل على مستوى Root، مما يمنح المهاجمين سيطرة تامة على النظام المخترق.

التحليل التقني

تكمن خطورة CVE-2026-20245 في آلية استغلالها التي تعتمد على ضعف في التحقق من صحة المدخلات التي يوفرها المستخدم. بمجرد حصول المهاجم على صلاحيات netadmin، يمكنه تحميل ملف ضار – في هذه الحالة، ملف CSV خبيث يحمل اسم 'evil_tenant.csv' – لتجاوز آليات الأمان واكتساب صلاحيات Root. وقد أشار باحثو Mandiant إلى أن المهاجمين استخدموا تقنيات متطورة لمكافحة الطب الشرعي، بما في ذلك الحذف الانتقائي واستعادة ملفات تكوين النظام، للحفاظ على سرية عملياتهم وتجنب الكشف. شهد الحادث فترتين متميزتين من النشاط غير المصرح به: الأولى بين أواخر عام 2025 ويناير 2026، والثانية في مارس 2026. في الموجة الأولى، تعرضت الضحية لاتصالات نظير غير مصرح بها، يُرجح أنها استغلت إحدى ثغرتي تجاوز المصادقة في وحدات التحكم الخاصة بـ Cisco Catalyst SD-WAN وهما:

• CVE-2026-20127 (Zero-Day في ذلك الوقت)
• CVE-2026-20182 (Zero-Day في ذلك الوقت)

في الموجة الثانية، استهدفت اتصالات نظير أخرى جهازًا يعمل بإصدار أحدث من البرنامج تم تصحيحه ضد CVE-2026-20127، ولكن Cisco أكدت أن CVE-2026-20182 لم تُستغل أيضًا. يُشير ذلك إلى احتمال اعتماد المهاجم على شهادات مسروقة من اختراق سابق لنفس الجهاز للحصول على الوصول الأولي. بعد ذلك، قام المهاجمون بتغيير بيانات اعتماد المسؤول الافتراضية، ثم استغلوا CVE-2026-20245 عبر تحميل ملف CSV الضار لتصعيد الامتيازات وإنشاء حساب مستخدم خفي باسم 'troot' مع سيطرة كاملة على Shell على مستوى Root. وقد وثق الباحثون أن المهاجمين قاموا بشكل منهجي بتغطية آثارهم من خلال حذف الملفات التي أنشأوها، وعكس تغييرات التكوين، وتشغيل نصوص برمجية للتأكد من عدم ترك أي دليل، مما حد من قدرة المدافعين على تقييم المدى الكامل للاختراق. حتى أنهم قاموا بتغيير كلمة مرور المسؤول الافتراضية، ومن ثم استعادتها إلى قيمتها الأصلية بعد سرقة تكوين SD-WAN، لضمان عدم اكتشاف المسؤولين لأي شيء غير عادي عند تسجيل الدخول.

السياق وتأثير السوق

تُسلط هذه الحادثة الضوء على الاتجاه المتنامي لاستغلال ثغرات Zero-Day في الأجهزة الطرفية (Edge Devices) مثل أنظمة SD-WAN. هذه الأجهزة غالبًا ما تفتقر إلى القياس عن بعد (telemetry) اللازم للتحليل الجنائي المتعمق، مما يجعلها أهدافًا جذابة للمهاجمين المتقدمين. إن القدرة على إنشاء موطئ قدم في هذه الأنظمة يمكن أن يمنح المهاجمين رؤية مستمرة للحركة المرورية الداخلية عبر البنية التحتية للشبكة، مما يشكل تهديدًا بالغ الخطورة للأمن العام للشركات والمؤسسات. يُشير تشارلز كارماكال، المدير التقني لشركة Mandiant Consulting، إلى أن "الخصوم المتقدمين يواصلون استهداف واستغلال أجهزة الشبكة والأنظمة الأخرى التي لا تدعم حلول EDR بشكل أصلي". هذه الاستراتيجية تسمح للمهاجمين بالتحرك داخل الشبكات المستهدفة دون الكشف بسهولة. بالنسبة لسوق حلول SD-WAN، التي تعتمد عليها العديد من الشركات الحديثة لإدارة شبكاتها بكفاءة، فإن هذه الثغرات تثير تساؤلات جدية حول مرونة هذه الحلول الأمنية وموثوقيتها. تُعزز هذه الهجمات الحاجة الملحة للمؤسسات إلى إعادة تقييم استراتيجياتها الأمنية، مع التركيز على الأمن الشامل الذي يتجاوز النقاط النهائية التقليدية ليشمل الأجهزة الطرفية وشبكاتها المعقدة. كما أن تورط شركات مثل Mandiant و Google في الكشف عن هذه التهديدات يؤكد على الأهمية المتزايدة لذكاء التهديدات المشترك بين القطاعين العام والخاص في مواجهة الجهات الفاعلة المتقدمة.

رؤية Glitch4Techs

من منظور Glitch4Techs، يُعد استغلال ثغرة CVE-2026-20245 مثالاً صارخًا على التحديات الأمنية المعاصرة. فرغم أن الثغرة تتطلب صلاحيات netadmin الأولية، إلا أن السيناريوهات التي تم فيها الحصول على هذه الصلاحيات (مثل استغلال ثغرات Zero-Day سابقة أو سرقة الشهادات) تُبرز نقاط الضعف الكامنة في الطبقات الأمنية الأولية. إن استخدام المهاجمين لتقنيات متقدمة لمكافحة الطب الشرعي لا يُشير فقط إلى مستوى تطورهم، بل يُعرقل أيضًا جهود الكشف والتحليل اللاحقة، مما يجعل تحديد المدى الكامل للاختراق والإسناد أمرًا بالغ الصعوبة. تكمن إحدى أبرز المخاوف في حقيقة أن الاستغلال حدث لمدة شهرين قبل اكتشافه، مما يثير تساؤلات حول فعالية آليات المراقبة الداخلية لشركة Cisco وقدرة العملاء على اكتشاف مثل هذه الأنشطة الخفية. تُعتبر أجهزة Edge، مثل أجهزة SD-WAN، نقاط دخول حرجة للشبكات المؤسسية، ونقص أدوات الكشف والتحليل العميق عليها يجعلها "مناطق عمياء" يمكن للمهاجمين العمل فيها بحرية نسبية. نُوصي بشدة المؤسسات بتطبيق مبادئ Zero Trust الصارمة على جميع الأجهزة، خاصة الأجهزة الطرفية. يجب أن يشمل ذلك تعزيز المصادقة متعددة العوامل (MFA)، وتنفيذ التحكم في الوصول بأقل الامتيازات (Least Privilege Access)، وتحسين أدوات المراقبة والتسجيل على أجهزة SD-WAN لضمان رؤية شاملة. بالإضافة إلى ذلك، يجب أن تُجرى عمليات تدقيق أمنية منتظمة واختبارات اختراق، مع التركيز على محاكاة هجمات Zero-Day على الأجهزة الطرفية. نتوقع أن تستمر الجهات الفاعلة في التهديد في استهداف هذه الأجهزة، مما يتطلب من المدافعين اعتماد نهج استباقي ومستمر للأمن يتجاوز مجرد التصحيح (patching) الاستجابي.