أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA عن إدراج الثغرة الحرجة CVE-2026-20182 في قائمة الثغرات المستغلة فعليًا (Known Exploited Vulnerabilities – KEV)، ما يلزم الوكالات الفيدرالية المدنية (FCEB) بمعالجة الخلل قبل 17 مايو 2026. الثغرة، التي تحمل تقييم 10.0 وفق معيار CVSS، تتيح لمهاجم بعيد غير مصادق تجاوز آلية التحقق والدخول بصلاحيات إدارية إلى أنظمة Cisco Catalyst SD-WAN Controller وManager.
تفاصيل الاستغلال والجهة المسؤولة
أشارت Cisco في بيان منفصل إلى أن الاستغلال النشط للثغرة يُنسب بثقة عالية إلى مجموعة التهديد UAT-8616، وهي نفس الجهة التي استغلت سابقًا الثغرة CVE-2026-20127. بعد الاختراق، حاول المهاجمون:
- إضافة مفاتيح SSH إلى الأنظمة المستهدفة.
- تعديل إعدادات NETCONF للتحكم في الشبكة.
- تصعيد الامتيازات للوصول إلى صلاحيات الجذر.
ارتباط بثغرات أخرى
رصدت Cisco وفرق بحثية أخرى نشاطًا متداخلًا مع شبكات ORB (Operational Relay Box)، حيث استغلت مجموعات تهديد متعددة ثغرات أخرى مثل CVE-2026-20133 وCVE-2026-20128 وCVE-2026-20122 منذ مارس 2026. هذه الثغرات، عند ربطها معًا، تسمح للمهاجمين بالوصول غير المصرح به إلى الأجهزة بشكل كامل.
أدوات الاستغلال المستخدمة
النشاط الأخير اعتمد على شيفرات استغلال منشورة علنًا، حيث تم نشر web shells على الأنظمة المخترقة لتمكين تنفيذ أوامر Bash عشوائية. من أبرز الأدوات التي رُصدت:
- Godzilla web shell
- Behinder web shell
- XenShell المبني على PoC من ZeroZenX Labs
- Sliver C2 framework للتحكم عن بُعد
- XMRig miner لتعدين العملات الرقمية
- KScan وأبواب خلفية مبنية بلغة Nim
- أدوات سرقة بيانات الاعتماد للحصول على مفاتيح JWT وبيانات AWS
توصيات الحماية
أوصت Cisco عملاءها بضرورة:
- تطبيق التحديثات الأمنية فورًا.
- مراجعة سجلات النظام لرصد أي نشاط غير مصرح به.
- حظر الاتصالات المشبوهة مع البنى التحتية المرتبطة بالمهاجمين.
- تدوير بيانات الاعتماد التي قد تكون تعرضت للاختراق.
