ثغرة في Cisco Secure Workload تمنح المخترقين صلاحيات المسؤول
"أصدرت Cisco تحديثات طارئة لإغلاق ثغرة أمنية مدمرة (CVSS 10.0) في نظام Secure Workload. تسمح الثغرة للمهاجمين بتجاوز المصادقة بالكامل عبر واجهات REST API والسيطرة على البيانات الحساسة."
مقدمة تحليلية
سجلت مختبرات الأمن السيبراني حالة تأهب قصوى جديدة عقب إعلان شركة Cisco رسميًا عن سد ثغرة برمجية فائقة الخطورة حصلت على تصنيف 10.0 كاملًا على مقياس CVSS. الثغرة المكتشفة تضرب العصب الحساس لمنصة Cisco Secure Workload (المعروفة سابقًا باسم Tetration)، وهي الأداة الأساسية التي تعتمد عليها المؤسسات الضخمة لإدارة سياسات الأمن وحماية بيئات السحاب الهجينة ومراكز البيانات عبر عزل الشبكات على مستوى برمجيات التشغيل.
الخطورة الاستثنائية لهذه الثغرة لا تكمن فقط في تقييمها الرقمي الكامل، بل في قدرتها على منح المهاجمين الخارجيين غير الحاصلين على أي صلاحيات وصولاً مباشرًا إلى واجهات REST API الحساسة. يعني ذلك عمليًا سقوط جدران الحماية متعددة المستأجرين (Tenant Boundaries)، مما يسمح بقراءة البيانات الحساسة وتعديل الإعدادات الأمنية بالكامل، والأسوأ من ذلك، التصرف بامتيازات مدير الموقع بالكامل (Site Admin) دون الحاجة لتجاوز أي نظام مصادقة تقليدي.
يأتي هذا الإفصاح الحرج في وقت حرج تواجه فيه Cisco هجمات مكثفة تستهدف البنى التحتية لعملائها، مما يضع مهندسي الشبكات ومديري الأنظمة أمام ضرورة حتمية للترقية الفورية، خاصة مع إقرار الشركة بعدم وجود أي حلول بديلة أو إجراءات تخفيفية مؤقتة خارج نطاق التحديث المباشر للبرمجيات المتضررة.
التحليل التقني
تتمحور الثغرة التي تم تتبعها تحت المعرف المرجعي CVE-2026-20223 حول خلل جسيم في آلية التحقق من الهوية وصحة الطلبات (Insufficient Validation and Authentication) الواردة إلى نقاط النهاية الخاصة بواجهة برمجة التطبيقات REST API. في بيئات التشغيل العادية، تعمل واجهات REST API كبوابات مشفرة ومحمية لا تسمح بتمرير الأوامر إلا بعد التحقق من توقيعات الأمان وبيانات التعريف الخاصة بالمسؤولين المعنيين.
عند استغلال هذه الثغرة، لا يحتاج المهاجم سوى إلى إرسال طلب API مصمم بعناية (Crafted API Request) وموجه مباشرة إلى نقطة النهاية المتأثرة عبر بروتوكول HTTP/HTTPS. بمجرد استقبال المنصة لهذا الطلب، يفشل نظام التحقق الداخلي في رصد غياب التوقيعات الأمنية الصالحة، ويتعامل مع الطلب كأمر موثوق صادر من مستخدم ذي صلاحيات مطلقة.
الأثر الفني المترتب على هذا الاختراق يمتد ليشمل:
- تجاوز حدود المستأجرين (Tenant Boundaries): إمكانية الانتقال من مساحة عمل معزولة إلى مساحات مستأجرين آخرين على نفس البنية التحتية المشتركة.
- تسريب البيانات الحساسة: قراءة كامل حركة مرور الشبكة المخزنة، وسياسات العزل، ومعلومات تشفير الاتصالات المتبادلة.
- تعديل البنية البرمجية: إجراء تغييرات جذرية على إعدادات الأمان وقواعد العزل البرمجي مما يمهد الطريق لعمليات اختراق أوسع للشبكة الداخلية.
أوضحت Cisco أن هذه الثغرة تؤثر على برمجيات Cisco Secure Workload Cluster Software، سواء أكانت مدمجة كخدمة سحابية (SaaS) أو منصبة محليًا بداخل مراكز البيانات الخاصة بالشركات (On-Premises)، بغض النظر عن طبيعة التكوين أو الإعدادات الخاصة بالجهاز المضيف. وقد حددت الشركة الإصدارات المتأثرة والنسخ المعالجة على النحو التالي:
- الإصدار 3.9 وما قبله: متأثر بالكامل ويجب على المؤسسات الهجرة فورًا إلى إصدارات أحدث مدعومة.
- الإصدار 3.10: تم معالجة المشكلة وإغلاق الثغرة في النسخة 3.10.8.3.
- الإصدار 4.0: تم سد الثغرة بالكامل في النسخة 4.0.3.17.
السياق وتأثير السوق
لا يمكن قراءة هذا التهديد الأمني بمعزل عن التطورات الجيوسياسية والتقنية الأخيرة التي تحيط بمنتجات Cisco. فقبل أسبوع واحد فقط من هذا الإعلان، كشفت الشركة عن استغلال نشط لثغرة أخرى حرجة للغاية تحمل التقييم CVSS 10.0 وتتبع المعرف CVE-2026-20182 في نظام Catalyst SD-WAN Controller. تلك الثغرة جرى استغلالها بالفعل من قبل مجموعة قرصنة متطورة معروفة برمز UAT-8616 للوصول غير المصرح به إلى أنظمة التحكم بالشبكات واسعة النطاق.
مقارنةً بقطاع حلول أمن الشبكات، فإن تكرار ظهور ثغرات المصادقة المباشرة وبتقييمات كاملة يفرض ضغوطًا هائلة على استراتيجيات الدفاع السيبراني للمؤسسات. تعتمد استراتيجية "الثقة الصفرية" (Zero Trust Architecture) التي تروج لها Cisco على افتراض أن كل جهاز وكل واجهة API تتحقق من الهوية باستمرار؛ وبالتالي، فإن وجود ثغرة تكسر هذا المبدأ في الصميم يهدد مصداقية هذه الحلول الأمنية في مواجهة المنافسين الشرسين مثل Palo Alto Networks وFortinet.
تزايد الاعتماد على واجهات REST API لإدارة البنى التحتية المؤتمتة جعل منها الهدف المفضل للمخترقين. إن نجاح المهاجم في التسلل عبر واجهة برمجية يمنحه قدرة على التحكم السريع بآلاف الخوادم دفعة واحدة، وهو ما يفوق بمراحل خطورة اختراق جهاز مستخدم فردي أو خادم معزول.
رؤية Glitch4Techs
منظورنا التحليلي في Glitch4Techs يشير إلى أن خلو الثغرة الحالية (CVE-2026-20223) من أدلة الاستغلال النشط في البرية حتى اللحظة -وفقًا لتقرير الفحص الداخلي لـ Cisco- لا يعني على الإطلاق إمكانية التراخي في ترقيتها. عملية الهندسة العكسية للرقع البرمجية (Patch Reverse Engineering) التي يقوم بها الباحثون الأمنيون والقرصنة على حد سواء ستبدأ فورًا، ومن المتوقع ظهور نماذج استغلال فعالة (PoC) خلال الأيام القليلة القادمة.
غياب أي حلول برمجية بديلة أو إعدادات جدار حماية تخفيفية يؤكد وجود عيب بنيوي عميق في كيفية تصميم بوابة إدارة واجهات الـ API الخاصة بالنظام المعني. إن مشاركة الصلاحيات وكسر عزل المستأجرين يعني أن المنصة كانت تفتقر إلى طبقة تدقيق ثانوية مستقلة للتأكد من هوية المستخدم قبل تمرير الأوامر الحساسة إلى قاعدة البيانات المشتركة.
ننصح فرق الأمن السيبراني في جميع المؤسسات التي تعتمد على Cisco Secure Workload ببدء عمليات جرد عاجلة لإصدارات العناقيد البرمجية المعنية، مع إعطاء الأولوية القصوى لترقية الأنظمة المتصلة مباشرة بالإنترنت أو تلك التي تخدم بيئات عمل حساسة متعددة الشركاء لمنع حدوث سيناريوهات الهجمات الارتدادية.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.