أعلنت شركة Cisco عن إصلاح ثغرة أمنية خطيرة في نظام Unified Communications Manager (Unified CM)، تُعرف بالرمز CVE-2026-20230، والتي تسمح لمهاجم غير مصادق على الشبكة بكتابة ملفات على النظام ثم التصعيد إلى صلاحيات الجذر. الثغرة ناتجة عن هجوم تزوير طلبات الخادم (Server-Side Request Forgery – SSRF)، حيث يفشل النظام في التحقق من بعض طلبات HTTP، مما يتيح للمهاجم دفع الخادم إلى كتابة ملفات عشوائية على نظام التشغيل.
هذه الملفات تمثل نقطة ارتكاز يمكن استخدامها لاحقًا للوصول إلى صلاحيات الجذر، وهو ما يجعل الثغرة بالغة الخطورة. ورغم أن تقييم CVSS v4.0 منحها درجة 8.6 (تأثير على سلامة النظام فقط)، إلا أن Cisco صنفتها حرجة (Critical) نظرًا لأن النتيجة النهائية هي السيطرة الكاملة على النظام.
عوامل التخفيف
الثغرة لا تعمل إلا إذا كانت خدمة WebDialer مفعلة، وهي غير مفعلة بشكل افتراضي. لكن أي مؤسسة قامت بتشغيلها تكون معرضة للخطر. للتحقق من ذلك:
- الدخول إلى Cisco Unified CM Administration.
- الانتقال إلى Cisco Unified Serviceability.
- من قائمة Tools > Control Center – Feature Services، التحقق من حالة خدمة Cisco WebDialer Web Service ضمن قسم CTI Services. إذا كانت الحالة “Started”، فهذا يعني أن النظام معرض.
الحلول والإصلاحات
- بالنسبة لإصدار 14: التحديث إلى 14SU6.
- بالنسبة لإصدار 15: التحديث الكامل (15SU5) لن يصدر قبل سبتمبر 2026، لذا يجب استخدام التصحيح المؤقت COP patch أو إيقاف خدمة WebDialer يدويًا عبر Tools > Service Activation.
الثغرة تم الإبلاغ عنها من قبل باحث مستقل بالتعاون مع SSD Secure Disclosure، وأكدت Cisco أن كود الاستغلال متاح علنًا، رغم عدم وجود دلائل على استغلاله في هجمات حتى الآن.
سياق أوسع
هذه الثغرة تأتي ضمن سلسلة من المشاكل الأمنية في Unified CM:
- يوليو 2025: اكتشاف حساب SSH بصلاحيات الجذر مدمج في النظام (CVE-2025-20309، بدرجة CVSS 10).
- يناير 2026: إصلاح ثغرة تنفيذ أوامر عن بُعد غير مصادق عليها (CVE-2026-20045) كانت تُستغل بالفعل، وأدرجتها CISA في قائمة الثغرات المستغلة.
النمط واضح: طلبات غير مصادق عليها تصل إلى مكونات حساسة، ما يجعل هذه المنتجات هدفًا متكررًا للهجمات. ومع وجود كود استغلال علني وتأخر إصدار التصحيح الكامل لإصدار 15، يُتوقع أن يتم تطوير هجوم عملي قبل أن تُطبق جميع المؤسسات التحديثات.
