أعلنت شركة Cisco عن تعرض منصتها Catalyst SD-WAN Manager (المعروفة سابقاً بـ vManage) لاستغلال نشط لثغرتين أمنيتين خطيرتين:
- CVE-2026-20122 (درجة CVSS: 7.1): ثغرة تسمح لمهاجم عن بُعد يمتلك بيانات اعتماد للقراءة فقط عبر واجهة الـ API بكتابة ملفات عشوائية على النظام.
- CVE-2026-20128 (درجة CVSS: 5.5): ثغرة إفشاء معلومات تتيح لمهاجم محلي مصادق الحصول على صلاحيات مستخدم Data Collection Agent.
كلا الثغرتين تتطلبان امتلاك بيانات اعتماد صحيحة، ما يزيد من خطورة استغلالها في بيئات إنتاجية.
نشاط الاستغلال العالمي
بحسب فريق Cisco PSIRT، تم رصد الاستغلال النشط للثغرتين في مارس 2026. منصة watchTowr أوضحت أن محاولات الاستغلال جاءت من عناوين IP متعددة، مع نشر برمجيات خبيثة مثل Web Shells. أكبر موجة هجمات سُجلت في الرابع من مارس، وشملت مناطق متعددة حول العالم، مع نشاط ملحوظ في الولايات المتحدة. الخبراء يتوقعون استمرار الهجمات ضمن ما يُعرف بـ “الذيل الطويل” للاستغلال، حيث ينضم المزيد من المهاجمين مع مرور الوقت.
التوصيات الأمنية العاجلة
Cisco دعت المستخدمين إلى التحديث الفوري للإصدارات الآمنة، والتي شملت:
- الإصدار 20.9: الإصلاح في 20.9.8.2
- الإصدار 20.12: الإصلاح في 20.12.5.3 و20.12.6.1
- الإصدار 20.15: الإصلاح في 20.15.4.2
- الإصدار 20.18: الإصلاح في 20.18.2.1
وغيرها من الإصدارات التي حصلت على ترقيعات الشهر الماضي.
كما أوصت الشركة بخطوات إضافية:
- وضع الأجهزة خلف جدار ناري.
- تعطيل بروتوكولات غير ضرورية مثل HTTP وFTP.
- تغيير كلمة مرور المدير الافتراضية.
- مراقبة سجلات الشبكة لرصد أي حركة مرور غير متوقعة.
سياق أوسع للهجمات
يأتي هذا الإعلان بعد أسبوع واحد من كشف Cisco عن ثغرة حرجة (CVE-2026-20127، درجة CVSS: 10.0) في Catalyst SD-WAN Controller وManager استغلها فاعل تهديد متقدم يُعرف باسم UAT-8616 للتسلل إلى مؤسسات عالية القيمة. كما أصدرت الشركة هذا الأسبوع تحديثات لمعالجة ثغرتين بالغة الخطورة في Secure Firewall Management Center (CVE-2026-20079 وCVE-2026-20131) تسمح بتجاوز المصادقة وتنفيذ تعليمات Java كجذر على الأجهزة المتأثرة.
