أعلنت شركة “سيسكو” عن ثغرة أمنية بالغة الخطورة في أنظمة Catalyst SD-WAN Controller و Catalyst SD-WAN Manager، تم تتبعها تحت الرمز CVE-2026-20127 وحصلت على أعلى تقييم خطورة (CVSS 10.0). هذه الثغرة تسمح لمهاجم عن بُعد غير مصادق بتجاوز آليات التحقق والدخول بصلاحيات إدارية عبر إرسال طلبات مصممة خصيصاً.
الاستغلال الناجح يمنح المهاجم وصولاً إلى حساب داخلي عالي الامتيازات، مما يتيح له التحكم في إعدادات الشبكة عبر بروتوكول NETCONF والتلاعب بالبنية الكاملة لشبكات SD-WAN.
خلفيات الاستغلال منذ 2023
وفقاً لتقارير مركز الأمن السيبراني الأسترالي (ASD-ACSC)، فإن مجموعة تهديد متقدمة تحمل اسم UAT-8616 استغلت هذه الثغرة منذ عام 2023، ما مكّنها من إنشاء أجهزة وهمية داخل بيئة التحكم بالشبكة لتبدو وكأنها جزء موثوق من النظام. هذا الأسلوب سمح لها بتنفيذ أوامر موثوقة داخل البنية الإدارية والتحكمية للشبكة.
كما لجأ المهاجمون إلى استغلال ثغرة أخرى قديمة نسبياً (CVE-2022-20775) لرفع الامتيازات إلى مستوى الجذر عبر آلية “Downgrade” للبرمجيات، ثم إعادة النظام إلى نسخته الأصلية لإخفاء آثار الهجوم.
أنماط الهجوم وأساليب الإخفاء
من أبرز الخطوات التي اتبعها المهاجمون:
- إنشاء حسابات محلية مزيفة تحاكي حسابات شرعية.
- إضافة مفاتيح وصول عبر بروتوكول SSH للحصول على صلاحيات الجذر.
- تعديل سكربتات التشغيل الخاصة بـ SD-WAN لتخصيص البيئة بما يخدم أهدافهم.
- استخدام بروتوكول NETCONF على المنفذ 830 للتنقل بين الأجهزة ضمن بيئة الإدارة.
- محو الأدلة عبر حذف السجلات وملفات التاريخ والأوامر.
هذه الممارسات تعكس مستوى عالٍ من الاحترافية، وتؤكد أن الهدف كان الحصول على موطئ قدم دائم داخل شبكات مؤسسات حساسة، بما في ذلك قطاعات البنية التحتية الحيوية.
استجابة Cisco والوكالات الأمنية
أصدرت “سيسكو” تحديثات عاجلة لمعالجة الثغرة في إصدارات متعددة من Catalyst SD-WAN، وأوصت المؤسسات بالانتقال فوراً إلى النسخ المصححة. كما شددت على ضرورة مراجعة سجلات الدخول في ملف /var/log/auth.log لرصد أي محاولات دخول غير مصرح بها.
من جانبها، أدرجت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الثغرتين في قائمة الثغرات المستغلة فعلياً (KEV)، وأصدرت توجيهاً طارئاً يلزم الوكالات الفيدرالية بتحديث أنظمة SD-WAN خلال 24 ساعة، مع تقديم تقارير مفصلة عن الأجهزة المتأثرة والإجراءات المتخذة حتى نهاية مارس 2026.
هذا التطور يعكس اتجاهاً متزايداً نحو استهداف أجهزة الشبكات الطرفية من قبل جهات تهديد متقدمة، في محاولة للسيطرة على بيئات عالية القيمة وإحداث تأثير واسع على الأمن السيبراني العالمي.
