تخطى إلى المحتوى الرئيسي
شارك

استغلال نشط لثغرة Cisco SD-WAN دون وجود حل برامجي حتى الآن

فريق جلتشمنذ ساعة2 مشاهدة6 دقائق
شارك
استغلال نشط لثغرة Cisco SD-WAN دون وجود حل برامجي حتى الآن

ثغرة حرجة بلا علاج تستهدف Cisco Catalyst SD-WAN وتحذيرات من استغلالها النشط في البرية. تتيح الثغرة للمهاجمين رفع صلاحياتهم إلى جذر النظام وتنفيذ أوامر خبيثة.

مقدمة تحليلية

أصدرت شركة Cisco تحذيراً أمنياً عاجلاً وجاداً لجميع المؤسسات التي تعتمد على بنيتها التحتية للشبكات، مؤكدة وجود استغلال نشط لثغرة أمنية شديدة الخطورة تستهدف نظام إدارة الشبكات Catalyst SD-WAN Manager (المعروف سابقاً باسم SD-WAN vManage). الثغرة التي تحمل المعرّف CVE-2026-20245 حصلت على تقييم خطورة بلغ 7.8 من 10.0 درجات على مقياس CVSS، مما يعكس الخطر الداهم الذي تمثله على سلامة الشبكات الواسعة المعرّفة برمجياً للشركات والجهات الحكومية على حد سواء.

الجانب الأكثر إثارة للقلق في هذا الإعلان هو عدم توفر أي رقعة برمجية (Patch) أو حلول بديلة فورية لمعالجة الثغرة وقت الكشف عنها. يضع هذا الموقف إدارات أمن المعلومات في سباق مع الزمن لرصد أي مؤشرات اختراق (IoCs) في بيئاتها قبل فوات الأوان. تؤثر هذه الثغرة على طيف واسع من خيارات النشر والتشغيل، بما في ذلك الأنظمة المثبتة محلياً (On-Prem Deployment)، وأنظمة Cisco SD-WAN Cloud-Pro، والنسخ السحابية المدارة بالكامل بواسطة Cisco، وحتى البيئات المخصصة للقطاعات الحكومية الحساسة المتوافقة مع معايير FedRAMP الحكومية الأمريكية.

تكمن أهمية هذه المنصة في كونها العقل المدبر والمتحكم المركزي في كامل بنية SD-WAN؛ حيث يتم من خلالها إدارة سياسات التوجيه، وإرسال التحديثات لجميع أجهزة الحافة (Edge Devices)، وإعداد إعدادات التشفير والوصول. وبالتالي، فإن نجاح المهاجمين في السيطرة على نظام الإدارة هذا يعني منحهم نفوذاً مطلقاً للتحكم في حركة البيانات والاتصالات داخل المؤسسة المستهدفة بالكامل وتغيير مساراتها لخدمة أهدافهم التجسسية أو التخريبية.

التحليل التقني

تنشأ الثغرة الأمنية CVE-2026-20245 نتيجة لخلل جوهري في كيفية تحقق واجهة سطر الأوامر (CLI) الخاصة بنظام Cisco Catalyst SD-WAN Manager من المدخلات والمقاييس التي يرسلها المستخدمون. وبشكل أدق، يفشل النظام في إجراء عملية تصفية وتحقق كافية (Sanitization) للملفات المرفوعة إلى النظام عبر الواجهة. يمكن لمهاجم محلي لديه صلاحيات وصول معينة استغلال هذا القصور عبر رفع ملف خبيث مصمم برمجياً بطريقة خاصة تحتوي على رموز وأوامر تابعة لنظام التشغيل الأساسي، مما يسمح له بتنفيذ هجوم حقن الأوامر (Command Injection) والارتقاء بصلاحياته إلى مستوى المستخدم الجذر (root).

ومع ذلك، فإن استغلال هذه الثغرة يتطلب تخطي عقبة هامة؛ حيث يجب أن يمتلك المهاجم صلاحيات مدير الشبكة (netadmin) داخل النظام لتنفيذ الهجوم. لكن هذا الشرط لا يقلل من خطورة الموقف، نظراً لأن المهاجمين يعتمدون على استراتيجية "سلسلة الثغرات" (Vulnerability Chaining) لتجاوز هذا القيد تماماً. حيث يمكن استخدام ثغرات تجاوز مصادقة سابقة لسرقة الصلاحيات أولاً، ثم تنفيذ حقن الأوامر ثانياً. تفصيل هذه السلسلة يشمل ما يلي:

  • آلية تنفيذ الهجوم: يرفع المهاجم ملفاً يحمل اسماً أو محتوى يحتوي على رموز تهدف لتجاوز بيئة العمل المعزولة، ليتم تشغيل الأوامر بصلاحيات root مباشرة على نظام Linux الأساسي للمدير.
  • سلسلة الاختراق عبر CVE-2026-20182: ثغرة فائقة الخطورة (CVSS 10.0) تم اكتشافها بواسطة خبراء Rapid7 تتيح للمهاجمين عن بعد تجاوز المصادقة والحصول على صلاحيات إدارية كاملة دون الحاجة لبيانات اعتماد مسبقة.
  • الاستغلال عبر CVE-2026-20127: ثغرة تجاوز مصادقة أخرى تم رصد استغلالها كصفرية (Zero-Day) من قبل مجموعات تهديد متقدمة مثل UAT-8616 منذ عام 2023 للحصول على موطئ قدم أولي داخل بيئة vManage.

وقد كشف باحثو الأمان من فريق Google Mandiant، وتحديداً الخبراء Chester Sng وPete Boonyakarn وLogeswaran Nadarajan، عن هذه الثغرة بعد تتبع سلوكيات مريبة في بعض البيئات المستهدفة. وفي بعض الحالات المحدودة التي رصدتها Cisco ومكتب تحقيقات Mandiant، أدى استغلال الثغرة بنجاح إلى قيام المهاجمين بدفع تغييرات وإعدادات خبيثة مباشرة من مدير SD-WAN إلى أجهزة الحافة الطرفية (Edge Devices). هذا النوع من الهجمات يسمح للمخترقين بإنشاء قنوات اتصال خلفية وتجاوز أنظمة المراقبة التقليدية، مما يعقد من مهام فرق الاستجابة للحوادث (Incident Response) التي تجد صعوبة في التمييز بين الإعدادات المشروعة وتلك التي تم التلاعب بها بواسطة المهاجمين.

بسبب غياب التحديث الأمني المباشر لثغرة CVE-2026-20245، فإن خط الدفاع الأول والوحيد حالياً هو مراجعة سجلات النظام للكشف عن مؤشرات الاختراق (IoCs). تنصح Cisco بفحص ملف السجلات الحرج الموجود في المسار /var/log/scripts.log للبحث عن استدعاءات مريبة لبعض البرمجيات النصية مثل /usr/bin/vconfd_script_upload_tenant_list.sh أو غيرها من السكربتات التي تشير إلى رفع ملفات ذات امتدادات مشبوهة أو مسارات غير مألوفة، مثل ملفات CSV خبيثة تُرفع من حسابات المسؤولين بشكل مفاجئ وغير مجدول.

السياق وتأثير السوق

يمثل هذا الكشف ضربة جديدة لبنية Cisco الأمنية في وقت حساس جداً؛ حيث تُظهر البيانات أن CVE-2026-20245 هي الثغرة السابعة التي تؤثر على حلول Cisco SD-WAN ويتم تصنيفها كـ "مستغلة بنشاط في البرية" خلال العام الحالي وحده. هذه السلسلة الطويلة تشمل ثغرات أخرى مثل CVE-2026-20182، وCVE-2026-20127، وثنائيات CVE-2026-20122، وCVE-2026-20128، وCVE-2026-20133، بالإضافة إلى الثغرة القديمة نسبياً CVE-2022-20775. هذا التتابع السريع والمركز للثغرات يشير بوضوح إلى أن منصات SD-WAN الخاصة بشركة Cisco باتت هدفاً مفضلاً وجذاباً لمجموعات التجسس السيبراني المدعومة من دول (State-Sponsored APTs).

على مستوى السوق، فإن هذه الأحداث المتلاحقة تفرض ضغوطاً هائلة على Cisco في منافستها الشرسة ضد عملاقة شبكات الأمان مثل Palo Alto Networks وFortinet. تحاول هذه الشركات المنافسة استغلال هذه الأزمات المتكررة لتقديم حلولها الأمنية المتكاملة لخدمات الوصول الآمن (SASE) كبدائل أكثر استقراراً وأماناً. تكرار ثغرات المصادقة وحقن الأوامر في مكونات التحكم يثير تساؤلات جدية لدى مهندسي الشبكات والمدراء التنفيذيين للمعلومات حول جودة عمليات فحص الكود المصدري (Secure Code Review) واختبارات الاختراق التي تجريها Cisco لمنتجاتها قبل طرحها للمؤسسات الحيوية.

بالنسبة للمؤسسات الحكومية التي تستخدم الإصدار الخاص Cisco SD-WAN for Government المتوافق مع معايير FedRAMP، فإن هذه الأزمة تمثل تحدياً تنظيمياً وقانونياً مضاعفاً. هذه الجهات تلتزم بمعايير امتثال بالغة الصرامة تتطلب سد الثغرات النشطة في غضون أيام قليلة من اكتشافها. وفي غياب رقعة برمجية رسمية من الشركة المصنعة، تقع هذه الوكالات الحكومية في منطقة رمادية حيث يتعين عليها اتخاذ قرارات صعبة مثل تعطيل بعض الميزات الحيوية للخدمة أو اللجوء إلى حلول تعويضية (Compensating Controls) قد تؤثر على كفاءة تسيير حركة المرور الحكومية الحساسة، مما يوضح الكلفة الباهظة للاعتماد على برمجيات احتكارية مغلقة المصدر تواجه هجمات صفرية متتالية.

رؤية Glitch4Techs

في منصة Glitch4Techs، نرى أن إطلاق شركة بحجم Cisco لتحذير من ثغرة نشطة مستغلة دون تقديم رقعة أمنية جاهزة هو سيناريو يعبر عن فجوة أمنية حرجة تتطلب إجراءات استثنائية من قبل أقسام تقنية المعلومات. الاعتماد فقط على رصد مؤشرات الاختراق (IoCs) في ملف السجلات هو أسلوب دفاعي متأخر؛ فالرصد يعني أن الهجوم قد وقع بالفعل أو يجري تنفيذه حالياً، مما يجعل المؤسسة في وضع رد الفعل بدلاً من الاستباقية.

الحل الفوري الفعال الذي نوصي به بشدة يتجاوز مجرد فحص السجلات. يجب على المؤسسات حظر وصول نظام Catalyst SD-WAN Manager إلى الإنترنت المفتوح بشكل كامل وفوري، ونقل واجهات الإدارة والتحكم خلف جدران حماية صارمة وشبكات إدارة معزولة (Out-of-Band Management) لا يمكن الوصول إليها إلا عبر شبكات VPN خاصة ومحمية بمصادقة ثنائية متعددة العوامل (MFA). علاوة على ذلك، يجب الإسراع فوراً بتثبيت التحديثات الخاصة بالثغرة CVE-2026-20182 التي صدرت في 14 مايو 2026؛ لأن كسر سلسلة الاختراق عند مرحلة المصادقة يمنع المهاجمين غير المصرح لهم من الوصول إلى واجهة CLI، مما يعطل قدرتهم على استغلال الثغرة الحالية الخالية من الرقع الأمنية بشكل كامل.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.