أصدرت شركة “سيسكو” العملاقة تحذيراً أمنياً طارئاً من هجمات إلكترونية نشطة تقوم بها مجموعة تهديد متقدم (APT) مرتبطة بالصين، تستغل ثغرة حرجة للغاية (تصنيف 10/10) لم يتم رقعها بعد في برنامج AsyncOS الذي تشغل به أجهزة أمان البريد الإلكتروني الخاصة بها. وكشفت الشركة أن هذه الثغرة، المسجلة تحت الرقم CVE-2025-20393، تسمح للمهاجمين بالسيطرة الكاملة على الأجهزة المصابة، مع وجود أدلة على أن المجموعة المسماة “UAT-9686” قد زرعت بالفعل أدوات تمكنها من الحفاظ على وجودها الدائم داخل الأنظمة المخترقة. وقد بدأت الهجمات الفعلية، حسب التحقيقات، على الأقل منذ أواخر نوفمبر الماضي.
شروط الاستغلال: متى يكون الجهاز في مرمى الخطر؟
لا تؤثر الثغرة على جميع العملاء بشكل تلقائي، بل يتطلب استغلالها بنجاح توفر شرطين محددين في أجهزة “Cisco Secure Email Gateway” أو “Cisco Secure Email and Web Manager”، سواء كانت افتراضية أو مادية. الشرط الأول هو أن يكون الجهاز مُهيأً بميزة “حجر البريد المزعج” (Spam Quarantine). والشرط الأهم هو أن تكون هذه الميزة معرضة للإنترنت ويمكن الوصول إليها من خارجه. وتطمئن “سيسكو” العملاء بأن هذه الميزة ليست مفعلة بشكل افتراضي، مما يحد من نطاق التعرض المحتمل. يمكن للمستخدمين التحقق من حالة الميزة عبر واجهة الإدارة بالذهاب إلى Network > IP Interfaces وفحص إذا ما كان خيار Spam Quarantine معلماً بالعلامة المناسبة.
أدوات التسلل وآلية عمل الباب الخلفي AquaShell
كشفت تحليلات “سيسكو” عن مجموعة متطورة من الأدوات التي تستخدمها المجموعة المهاجمة بعد اختراق الجهاز. تشمل هذه الأدوات برامج لإنشاء أنفاق اتصال مشفرة مثل “ReverseSSH” (أو AquaTunnel) و”Chisel”، مما يسمح للمهاجمين بالتنقل خلسة داخل الشبكة المستهدفة. كما تستخدم المجموعة أداة مساعدة خطيرة لمسح السجلات تسمى “AquaPurge” لإخفاء آثار نشاطها. الأكثر لفتاً للانتباه هو الباب الخلفي “AquaShell”، وهو برنامج خفيف الوزن مكتوب بلغة بايثون، مصمم للبقاء متخفياً. يعمل هذا الباب الخلفي عن طريق الاستماع السلبي لطلبات HTTP POST غير الموثقة، وعند استقبال طلب يحتوي على بيانات مشفرة بطريقة خاصة، يقوم بفك تشفيرها وتنفيذ الأوامر مباشرة في نظام التشغيل، مما يمنح المهاجمين تحكماً شبه كامل.
الإجراءات العاجلة: ماذا على العملاء فعلها في انتظار التصحيح؟
نظراً لأن التصحيح الأمني الرسمي من “سيسكو” لم يصدر بعد، فإن الشركة قدمت قائمة طويلة من الإجراءات التخفيفية العاجلة التي يجب على جميع العملاء المعنيين تطبيقها فوراً. أهم هذه الإجراءات يتضمن فصل الجهاز عن الإنترنت المباشر أو وضعه خلف جدار حماية يسمح فقط بحركة المرور من عناوين موثوقة. كما يجب فصل واجهة إدارة الجهاز عن واجهة خدمة البريد الإلكتروني تماماً. وتوصي “سيسكو” أيضاً بتعطيل بروتوكول HTTP للإدارة والانتقال لـ HTTPS فقط، وتعطيل أي خدمات شبكية غير ضرورية، وتعزيز سياسات المصادقة باستخدام أنظمة مثل SAML أو LDAP، وتغيير كلمات المرور الافتراضية. وفي الحالات التي يتم فيها التأكد من حدوث اختراق، تشدد “سيسكو” على أن الحل الوحيد الجذري حالياً هو إعادة بناء الجهاز بالكامل (Rebuilding) للتخلص من أدوات استمرارية المهاجم التي يصعب اكتشافها وإزالتها.
تأثير متسع: من “سيسكو” إلى CISA وهجمات الـ VPN الموازية
لم تقتصر تداعيات الكشف عن هذه الثغرة على تحذير “سيسكو” الداخلي، بل امتدت إلى المستوى الحكومي الأمريكي. حيث أدرجت الوكالة الأمريكية لأمن البنية التحتية والأمن الإلكتروني (CISA) الثغرة فوراً ضمن كتالوج الثغرات المعروفة المستغَلة (KEV)، وألزمت جميع الوكالات الفيدرالية التنفيذية المدنية بتطبيق إجراءات التخفيف المطلوبة في موعد أقصاه 24 ديسمبر 2025. يأتي هذا في وقت تشهد فيه البنية التحتية للأمن السيبراني هجمات موازية واسعة النطاق، حيث رصدت شركة “GreyNoise” للأبحاث الأمنية حملة آلية منسقة تستهدف بوابات VPN تابعة لـ “سيسكو” و”بالو ألتو نتوركس” عبر محاولات قوية لكسر كلمات المرور، مما يشير إلى بيئة تهديد متصاعدة تستهدف حلقات الدفاع الخارجية للمؤسسات بشكل مكثف.
