مانديانت تكشف تفاصيل استغلال ثغرة Cisco SD-WAN للحصول على صلاحيات Root

مقدمة تحليلية

كشفت Mandiant، الشركة الرائدة في مجال أمن المعلومات، عن تفاصيل دقيقة ومقلقة حول كيفية استغلال المهاجمين لثغرة يوم الصفر في Cisco Catalyst SD-WAN، والتي تحمل المعرف CVE-2026-20245، للحصول على صلاحيات الجذر (root access) وإنشاء حسابات غير مصرح بها على الأجهزة المستهدفة. يأتي هذا الكشف ليضيء جوانب غامضة كانت تحيط بهذه الهجمات التي حذرت منها Cisco سابقاً، مؤكدة على طبيعتها المحدودة لكنها بالغة الخطورة. الاستغلال لم يقتصر على مجرد الوصول، بل شمل إنشاء حسابات `root` جديدة وتطبيق تكتيكات متقدمة لإخفاء الآثار، مما يشير إلى مستوى عالٍ من الاحترافية والقدرة على التهرب من الكشف. تعتبر هذه الثغرة من نوع حقن الأوامر (command injection) ذات الخطورة العالية، وتؤثر على مكونات حيوية في بنية Cisco Catalyst SD-WAN مثل Manager (vManage) وController (vSmart) وValidator (vBond). وقد سمحت للمهاجمين الذين تمكنوا من الوصول المصادق إليه بتنفيذ أوامر عشوائية بصلاحيات `root` عن طريق رفع ملف مصمم خصيصاً. هذه المعلومات الجديدة من Mandiant لا تقدم فقط فهماً أعمق للتهديد، بل تسلط الضوء أيضاً على أهمية الفحص المستمر والتحليلات الجنائية للكشف عن الهجمات المعقدة التي تتجاوز مجرد استغلال الثغرات وصولاً إلى التحكم الكامل بالأنظمة.

التحليل التقني

بدأت سلسلة الهجمات، وفقاً لتقرير Mandiant، باتصالات peering غير مصرح بها لـ SD-WAN تم رصدها على البنية التحتية لمزود خدمة بدءاً من مارس 2026. يشير هذا إلى أن المهاجمين كانوا قد حصلوا بالفعل على نوع من الوصول الأولي قبل استغلال CVE-2026-20245. يُعتقد أن هذه الاتصالات الاحتيالية قد تكون قد أُنشئت عبر استغلال ثغرات سابقة لا تتطلب مصادقة (authentication bypass zero-days) مثل CVE-2026-20127 و CVE-2026-20182، على الرغم من أن الطريقة الدقيقة لا تزال غير واضحة في بعض الحالات، حيث أشارت Cisco إلى أن بعض الهجمات قد تكون استخدمت شهادات مسروقة من اختراقات سابقة. بعد الوصول الأولي، اتبع المهاجمون الخطوات التالية لاستغلال CVE-2026-20245:

• تغيير كلمة مرور الحساب الإداري: قام المهاجمون بتغيير كلمة المرور الافتراضية لحساب `vmanage-admin`، ثم استعادوا الكلمة الأصلية بعد إتمام أنشطتهم لتقليل فرص الكشف.
• استخراج المعلومات: قاموا بتسجيل الدخول إلى واجهة الويب الخاصة بـ SD-WAN Manager واستخراج معلومات التكوين للأجهزة الطرفية (edge devices)، ووحدات التحكم (controllers)، وقوالب SD-WAN.
• استغلال الثغرة: تم استغلال CVE-2026-20245 عبر ميزة `tenant-upload` في واجهة سطر الأوامر (CLI) الخاصة بـ SD-WAN، وذلك بتحميل ملف CSV خبيث باسم "evil_tenant.csv".
• إنشاء حساب `root` جديد: استخدم الملف الخبيث لإنشاء نسخ احتياطية لملفات تكوين النظام الحساسة مثل `/etc/passwd` و `/etc/shadow`، ثم قام بإنشاء حساب جديد باسم "`troot`" يتمتع بصلاحيات `root` كاملة.
• التبديل إلى حساب `root`: استخدم المهاجمون أمر Linux `su` للتبديل من الحساب الإداري المخترق إلى حساب `troot` الجديد، مما منحهم سيطرة كاملة على الجهاز.
• تكتيكات مكافحة الطب الشرعي: اعتمد المهاجمون بشكل كبير على هذه التكتيكات للتهرب من الكشف، بما في ذلك استعادة ملفات التكوين الأصلية بعد التعديل، وحذف حمولة CSV الخبيثة، وإزالة الملفات المؤقتة، ومسح أي دليل على حساب `troot` الجديد. كما تم رصد تنفيذ نص برمجي للتحقق من إزالة جميع آثار الاختراق.

هذه التفاصيل تؤكد على براعة المهاجمين في استغلال الثغرات والتلاعب بالأنظمة، ليس فقط للوصول، بل للحفاظ على استمراريتهم وإخفاء وجودهم.

السياق وتأثير السوق

تأتي هذه الكشوفات في أعقاب تحذيرات سابقة من Cisco في وقت سابق من هذا الشهر، والتي أشارت إلى استغلال CVE-2026-20245 في "عدد محدود من الهجمات" دون تقديم تفاصيل وافية. وقتها، نصحت Cisco العملاء بالترقية إلى الإصدارات البرمجية الثابتة، مؤكدة على عدم توفر حلول بديلة (workarounds). هذا النمط المتكرر من استغلال ثغرات يوم الصفر في منتجات Cisco، خاصة في بيئات حساسة مثل SD-WAN التي تدير شبكات واسعة، يثير تساؤلات جدية حول مرونة هذه الأنظمة وقدرتها على الصمود أمام الهجمات المعقدة. تأثير هذه الهجمات كبير على مقدمي الخدمات والشركات التي تعتمد على Cisco SD-WAN لإدارة بنيتها التحتية الشبكية. القدرة على الحصول على صلاحيات `root` تسمح للمهاجمين بالتحكم الكامل في الجهاز، مما يمكنهم من:

• تعديل التكوينات بشكل غير مصرح به، ربما لإعادة توجيه حركة المرور أو إدخال أبواب خلفية.
• سرقة بيانات حساسة من الجهاز أو الشبكة المتصلة به.
• استخدام الجهاز كنقطة انطلاق لهجمات أخرى داخل الشبكة.
• التحايل على ضوابط الأمان و تعطيل الخدمات.

المقارنة مع الثغرات السابقة، مثل CVE-2026-20127 و CVE-2026-20182، تُظهر نمطاً من استهداف ميزات المصادقة وإدارة الشبكة في Cisco SD-WAN. على الرغم من أن Cisco نفت تورط CVE-2026-20182 في بعض حالات الاختراق الأخيرة، فإن إشارة Mandiant إلى إمكانية استخدام شهادات مسروقة تبرز تحدياً أمنياً أوسع نطاقاً يتجاوز مجرد تصحيح الثغرات الفردية إلى الحاجة لإدارة شاملة للهوية والوصول في بيئات الشبكات المعقدة.

رؤية Glitch4Techs

تكشف هذه القضية عن عدة نقاط ضعف حرجة تستدعي اهتماماً فورياً. أولاً، استمرارية استغلال ثغرات يوم الصفر في منتجات Cisco، خاصة في أنظمة إدارة الشبكات الحرجة مثل SD-WAN، تشير إلى أن المهاجمين يمتلكون الموارد والقدرة على اكتشاف واستغلال هذه الثغرات بسرعة قبل إصدار التصحيحات. ثانياً، التكتيكات المتقدمة لمكافحة الطب الشرعي التي استخدمها المهاجمون - مثل استعادة كلمات المرور الأصلية، وحذف آثار الهجوم، وتشغيل نصوص التحقق - تزيد بشكل كبير من صعوبة الكشف عن الاختراقات وتحديد مداها. هذا يعني أن الاكتشاف المتأخر أو الفشل في الكشف يمكن أن يؤدي إلى سيطرة طويلة الأمد للمهاجمين على الأنظمة. من وجهة نظر Glitch4Techs، يجب على المؤسسات التي تستخدم Cisco SD-WAN أن تتجاوز مجرد تطبيق التصحيحات الأمنية. يجب أن تركز استراتيجياتها الدفاعية على:

• مراقبة التغييرات غير المعتادة: الرصد الدقيق لأي تغييرات في تكوينات الأجهزة، وخاصة تلك المتعلقة بحسابات المستخدمين أو اتصالات الـ peering.
• التحقق من المؤشرات الأمنية: استخدام مؤشرات الاختراق (IoCs) التي نشرتها Mandiant لتحديد ما إذا كانت أنظمتهم قد تعرضت للاختراق.
• تدقيق الوصول والصلاحيات: مراجعة دورية لحسابات المستخدمين وصلاحياتهم، وتطبيق مبدأ الحد الأدنى من الامتيازات.
• التحليلات الجنائية الاستباقية: إجراء تحليلات جنائية دورية وشاملة، حتى لو لم يتم اكتشاف اختراق مباشر، للبحث عن آثار قد تكون المهاجمون قد أخفوها بنجاح.
• إدارة الشهادات: التأكد من حماية الشهادات الرقمية المستخدمة للمصادقة ومنع سرقتها أو إساءة استخدامها.

نتوقع أن يستمر المهاجمون في استهداف البنية التحتية الشبكية، خاصة مع تزايد تعقيد وتوزيع الشبكات الحديثة. التحدي لا يكمن فقط في سد الثغرات، بل في بناء آليات دفاعية قوية قادرة على الكشف عن السلوكيات الخبيثة والتصدي لها حتى عندما يتمكن المهاجمون من تجاوز الخطوط الدفاعية الأولية، وهذا يتطلب نهجاً أمنياً متعدد الطبقات ومتطوراً باستمرار.