تخطى إلى المحتوى الرئيسي
شارك

ثغرة حرجة تهدد Cisco Unified CM بصلاحيات الـ Root والشركة تسابق الزمن

فريق جلتشمنذ ساعتين0 مشاهدة6 دقائق
شارك
ثغرة حرجة تهدد Cisco Unified CM بصلاحيات الـ Root والشركة تسابق الزمن

أطلقت Cisco رقعة برمجية لعلاج الثغرة الحرجة CVE-2026-20230 في نظام Unified CM بعد تسريب كود الاستغلال. تتيح الثغرة للمهاجمين كتابة ملفات والترقي لصلاحيات الـ root.

مقدمة تحليلية

أصدرت شركة سيسكو (Cisco) تحديثات برمجية طارئة لمعالجة ثغرة أمنية شديدة الخطورة في نظام إدارة الاتصالات الموحدة Unified Communications Manager (Unified CM). هذه الثغرة، التي تم تصنيفها تحت المعرّف CVE-2026-20230، تهدد مئات الآلاف من خوادم الاتصالات التي تعتمد عليها المؤسسات الكبرى والحكومات لإدارة مكالمات الهاتف والشبكات الصوتية الحساسة. تأتي أهمية هذا التحديث وسرعته بعد رصد انتشار كود استغلال تجريبي (Proof-of-Concept) متاح للعامة على الإنترنت، مما يمنح المهاجمين دليلاً عمليًا لتنفيذ الهجوم واختراق الخوادم بشكل فوري.

وفقًا للتقرير الصادر عن فريق استجابة حوادث أمن المنتجات في سيسكو (PSIRT)، فإن الثغرة تتيح لمهاجم غير مصرح له ومتواجد على الشبكة المحلية أو يمتلك وصولاً لبعض واجهات الويب، كتابة ملفات عشوائية على نظام التشغيل الأساسي الذي يعمل خلف الكواليس. هذا الخلل الأمني الخطير يمهد الطريق مباشرة للترقي في الصلاحيات حتى الوصول إلى مستوى الـ root الكامل، وهي أعلى سلطة تحكم في بيئة النظام، مما يعني السيطرة التامة على الاتصالات والبيانات المارة بالخادم.

وعلى الرغم من أن شركة سيسكو لم ترصد هجمات نشطة تستغل هذه الثغرة في بيئات العمل الفعلية حتى تاريخ نشر التحذير، إلا أن الكشف العلني عن كود الاستغلال يقلص الفجوة الزمنية المتاحة لمديري الأنظمة لإجراء عمليات الترقية والتثبيت الأمنية. يعتبر خبراء الأمن أن توافر هذا الكود يمثل دافعاً قوياً للمجموعات التخريبية التي تبحث عن أهداف حيوية داخل شبكات الشركات، خاصة أن أنظمة Cisco Unified CM تمثل عصب الاتصال الداخلي للكثير من الشركات المصنفة في قائمة Fortune 500.

التحليل التقني

تندرج الثغرة CVE-2026-20230 تحت تصنيف تزوير الطلبات عبر الخادم Server-Side Request Forgery (SSRF). يكمن الخلل البرمجي في الطريقة التي يتعامل بها كل من نظام Cisco Unified Communications Manager ونظام Session Management Edition (SME) مع عمليات التحقق من طلبات HTTP الواردة إلى خدمات معينة مدمجة في واجهتها. وبشكل أدق، فإن الأنظمة المتأثرة تفشل في معالجة المدخلات والتحقق من صحتها وتوجيهها بشكل آمن، مما يسمح للمهاجم بصياغة طلبات مخصصة يتم تمريرها إلى الخادم مباشرة للقيام بعمليات كتابة وتعديل للملفات دون التحقق من الهوية وصلاحيات المستخدم.

العملية الهجومية تتم عبر مرحلتين رئيسيتين:

  • المرحلة الأولى: يستغل المهاجم عدم وجود تدقيق في طلبات HTTP الموجهة لخدمة WebDialer، مما يتيح له استخدام قدرة SSRF لإجبار النظام على كتابة ملف خبيث عشوائي في مسارات معينة داخل نظام التشغيل الأساسي للمخدم.
  • المرحلة الثانية: يتم استخدام هذه الملفات المكتوبة كـ "موطئ قدم" أو ثغرة ثانية تُمكّن المهاجم من تجاوز الحماية المفروضة على الحسابات، وبالتالي الترقي الفوري بالصلاحيات للوصول إلى صلاحيات الـ Root التي تمنح تحكماً شاملاً.

وتوضح وثيقة سيسكو التقنية أن هذا التباين في التأثير هو السبب وراء الاختلاف بين التقييم الرقمي والتقييم الاسمي للثغرة. فمن جهة، حصلت الثغرة على تقييم 8.6 وفقًا لمقياس CVSS الأساسي لأن التقييم الأصلي يركز فقط على تأثير كتابة الملفات (الذي يؤثر على سلامة النظام فقط دون التأثير المباشر على السرية أو التوافر). ومع ذلك، صنف الفريق الأمني في سيسكو مستوى الخطر بالدرجة "حرجة" (Critical) نظراً لأن الخطوة التالية المباشرة لاستغلال الملف المكتوب هي الحصول على تحكم كامل بنظام التشغيل كمسؤول للنظام بشكل كامل.

تتطلب هذه الثغرة وجود شرط أساسي لكي تكون قابلة للاستغلال، وهو تفعيل خدمة WebDialer على النظام المتضرر. لحسن الحظ، فإن هذه الخدمة تكون معطلة بشكل افتراضي في الإعدادات المصنعية للنظام، ولكن أي مؤسسة قامت بتنشيطها لتمكين المستخدمين من إجراء مكالمات مباشرة من المتصفح تصبح عرضة للخطر الفوري.

للتحقق من حالة النظام ومعرفة ما إذا كانت المؤسسة في دائرة الخطر، يجب على مسؤولي الشبكات اتباع الخطوات التالية:

  • الولوج إلى لوحة التحكم Cisco Unified CM Administration ثم الانتقال إلى قسم Cisco Unified Serviceability.
  • الذهاب إلى قائمة الأدوات Tools ثم اختيار Control Center - Feature Services.
  • البحث عن خدمة Cisco WebDialer Web Service ضمن قسم خدمات CTI (Computer Telephony Integration).
  • إذا كانت حالة الخدمة تشير إلى "Started" (مفعلة)، فإن النظام مكشوف ويجب اتخاذ تدابير فورية للتخفيف من حدة المخاطر.

السياق وتأثير السوق

لا يعتبر هذه الثغرة حدثًا معزولاً، بل تأتي ضمن سلسلة من الثغرات الأمنية المتتابعة التي استهدفت البنية التحتية لحلول سيسكو المخصصة للمؤسسات في الآونة الأخيرة. على سبيل المثال، في يوليو الماضي، واجهت سيسكو أزمة كبيرة عندما قامت بسحب حساب SSH مدمج ومحمي بكلمة مرور ثابتة وصعبة التغيير تم تركه عن طريق الخطأ منذ مرحلة التطوير (CVE-2025-20309)، والتي حصدت تقييمًا أقصى بلغ 10 من 10 على مقياس CVSS بسبب سهولة استغلالها الكارثية.

بعد ذلك ببضعة أشهر، وتحديدًا في يناير من نفس العام، سارعت الشركة لإصدار تصحيح لثغرة تنفيذ برمجيات عن بُعد (RCE) دون حاجة للتحقق من الهوية (CVE-2026-20045) والتي استهدفت مجموعة واسعة من منتجات سيسكو الصوتية. كانت تلك الثغرة قيد الاستغلال الفعلي في الهجمات السيبرانية النشطة، مما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إدراجها بشكل فوري في قائمة الثغرات المستغلة المعروفة وإلزام الهيئات الفيدرالية بمعالجتها على وجه السرعة.

يبرز هذا التتابع المستمر للثغرات الحساسة تحديًا كبيرًا أمام فرق الحماية وإدارة الهوية والوصول داخل المؤسسات الحيوية التي تعتمد كليًا على حلول الاتصال الموحد من سيسكو. يرى محللو السوق أن هذه الهجمات المكررة تكشف عن اهتمام متزايد من جانب المجموعات المرتبطة بالدول أو عصابات التجسس الرقمي لخرق أنظمة الاتصال الصوتي والمرئي، حيث يتيح اختراق هذه الأنظمة القدرة على التجسس على المكالمات، وسرقة سجلات المكالمات، وقراءة الرسائل، بل واستخدام مخدمات الهاتف كمنصة للقفز والتسلل أعمق داخل الشبكات الداخلية للمؤسسات المصرفية والقطاعات الحكومية الحساسة.

رؤية Glitch4Techs

نرى في منصة Glitch4Techs أن تكرار الثغرات الحرجة في أنظمة الاتصالات الموحدة من سيسكو يشير إلى أزمة أعمق تتعلق بعمليات مراجعة الأكواد البرمجية واختبار الاختراق الداخلي قبل إطلاق التحديثات البرمجية للمستخدمين. إن استمرار تسرّب أخطاء برمجية تقليدية مثل SSRF أو الحسابات الصلبة في منتجات رائدة ومكلفة للغاية مثل Cisco Unified CM يضع علامات استفهام كبيرة حول فعالية دورة حياة تطوير البرمجيات الآمنة المعتمدة لدى الشركة العملاقة.

الجانب الأكثر إقلاقًا في هذه الأزمة الحالية يكمن في طول الفترة الزمنية المطلوبة لتوفير الحلول الترقيعية الشاملة لبعض النسخ الرئيسية. بينما تم بالفعل إصدار تصحيح للإصدار رقم 14 (النسخة 14SU6)، فإن المؤسسات التي تعتمد على الإصدار رقم 15 سيتعين عليها الانتظار حتى سبتمبر 2026 للحصول على التحديث الخدمي الكامل والمستقر (15SU5). وحتى ذلك الحين، تترك سيسكو عملاءها أمام خيارين صعبين: إما تثبيت حزم ترقيعية مؤقتة (interim COP patch) قد تسبب مشكلات في استقرار النظام، أو اللجوء إلى حل بديل مؤقت يتمثل في تعطيل ميزة WebDialer تمامًا، وهو ما قد يعطل أعمال وميزات يومية حيوية يعتمد عليها المئات من موظفي تلك الشركات.

لذلك، فإننا ننصح بشدة في Glitch4Techs بعدم الانتظار وتطبيق الحل البديل فورًا إذا لم تكن الترقية 14SU6 متاحة لشبكتكم. يجب إيقاف تشغيل الخدمة عبر التوجه إلى لوحة التحكم ثم إلغاء تفعيل WebDialer من خلال "Service Activation" وحفظ الإعدادات فورًا. وفي ظل وجود كود استغلال متاح للعامة، فإن الهجمات التلقائية ستبدأ في مسح الشبكات بحثًا عن أي خادم Cisco Unified CM غير محمي خلال الساعات القادمة، والتهاون في سد هذه الفجوة يمثل تذكرة مجانية للمخترقين للوصول إلى أعلى مستويات التحكم داخل شبكتكم الداخلية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.