أصدرت شركة Cisco تحديثات عاجلة لمعالجة ثغرة أمنية بالغة الخطورة في أنظمة Catalyst SD-WAN Controller، بعد أن تأكد استغلالها في هجمات محدودة. الثغرة، التي تحمل الرمز CVE-2026-20182، حصلت على أعلى تقييم خطورة وفق معيار CVSS وهو 10.0، ما يجعلها من أخطر أنواع الثغرات التي يمكن أن تهدد البنية التحتية للشبكات.
تفاصيل الثغرة وآلية الاستغلال
وفقًا لتقرير Cisco، فإن الخلل يكمن في آلية مصادقة النظراء داخل مكون “vdaemon” المسؤول عن إدارة الاتصالات عبر بروتوكول DTLS (المنفذ UDP 12346). يمكن للمهاجم غير المصادق إرسال طلبات مصممة خصيصًا لتجاوز المصادقة والدخول كحساب داخلي بامتيازات عالية، ثم استغلال ذلك للوصول إلى NETCONF والتحكم في إعدادات الشبكة الخاصة ببنية SD-WAN.
البيئات المتأثرة
الثغرة تؤثر على عدة أنواع من النشر، منها:
- النشر المحلي (On-Prem Deployment)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (الخدمة المدارة من Cisco)
- Cisco SD-WAN for Government (المعتمد ضمن FedRAMP)
ارتباط بثغرات سابقة
أشارت شركة Rapid7، مكتشفة الثغرة، إلى أن هذا الخلل يشبه إلى حد كبير ثغرة سابقة هي CVE-2026-20127 التي حصلت أيضًا على تقييم 10.0، والتي استغلها المهاجم المعروف باسم UAT-8616 منذ عام 2023. ورغم التشابه في المكون المستهدف، فإن الثغرة الجديدة ليست مجرد تجاوز للترقيع السابق، بل هي مشكلة مختلفة في جزء مشابه من مكدس الشبكة.
مؤشرات الاستغلال
أوضحت Cisco أن الاستغلال تم رصده في مايو 2026، وأن الأنظمة المكشوفة على الإنترنت مع منافذ مفتوحة هي الأكثر عرضة للخطر. من أبرز المؤشرات التي يجب مراقبتها:
- سجلات المصادقة: وجود إدخالات تشير إلى قبول مفاتيح عامة لحساب vmanage-admin من عناوين IP غير معروفة.
- أحداث نظراء مشبوهة: اتصالات غير مصرح بها تحدث في أوقات غير متوقعة أو من أجهزة غير متوافقة مع بيئة الشبكة.
توصيات Cisco
حثت الشركة جميع العملاء على:
- تطبيق التحديثات الأمنية فورًا.
- مراجعة سجلات النظام لرصد أي نشاط غير مصرح به.
- تقييد الوصول إلى الأنظمة الحساسة عبر الإنترنت.
