أصدرت شركة “سيسكو” تحذيراً عاجلاً بشأن ثغرة أمنية عالية الخطورة في منصة Catalyst SD-WAN Manager، المعروفة سابقاً باسم vManage، والتي تم رصد استغلالها بشكل نشط في بيئات مختلفة. الثغرة، التي تحمل الرمز CVE-2026-20245، حصلت على تقييم خطورة 7.8 من أصل 10 وفقاً لمقياس CVSS، وتؤثر على عدة أنماط نشر، منها: النشر المحلي، ونسخة Cisco SD-WAN Cloud-Pro، ونسخة Cisco Managed، إضافة إلى النسخة الحكومية المعتمدة ضمن برنامج FedRAMP.
تتمثل خطورة الثغرة في أنها تسمح لمهاجم محلي يمتلك صلاحيات netadmin بتنفيذ أوامر عشوائية بصلاحيات الجذر عبر رفع ملف مُصمم خصيصاً إلى النظام. ويعود السبب إلى ضعف في آلية التحقق من مدخلات المستخدم داخل واجهة الأوامر CLI، ما يفتح الباب أمام هجمات حقن الأوامر ورفع الامتيازات.
خلفية عن الثغرات السابقة المرتبطة
أشارت “سيسكو” في بيانها إلى أن استغلال هذه الثغرة يتطلب امتلاك بيانات اعتماد صالحة أو الاستفادة من ثغرات أخرى مثل CVE-2026-20182 وCVE-2026-20127، وهما ثغرتان خطيرتان بدرجة قصوى (CVSS 10.0) سبق أن استُغلتا من قبل مجموعة تهديد معروفة باسم UAT-8616 منذ عام 2023. هذه المجموعة ارتبطت باستغلال ثغرات تجاوز المصادقة في مكونات SD-WAN، ما يبرز الترابط بين الهجمات الحالية وسلسلة من الثغرات السابقة التي لم تُغلق بشكل كامل.
اللافت أن الثغرة الجديدة هي السابعة التي تُصنّف ضمن قائمة الثغرات المستغلة في منتجات SD-WAN خلال عام 2026 وحده، بعد ثغرات CVE-2026-20182، CVE-2026-20127، CVE-2026-20122، CVE-2026-20128، CVE-2026-20133، وCVE-2022-20775.
غياب الترقيعات وتوصيات عاجلة
حتى لحظة الإعلان، لم تُصدر “سيسكو” أي ترقيع أو حلول تخفيفية للثغرة CVE-2026-20245، ما يزيد من خطورتها على المؤسسات التي تعتمد على هذه الأنظمة. الشركة أوصت العملاء بضرورة ترقية برمجيات SD-WAN إلى أحدث إصدار يتضمن إصلاحات الثغرات السابقة، خصوصاً CVE-2026-20182 التي تم ترقيعها في مايو 2026.
كما شددت “سيسكو” على أن الأنظمة المكشوفة عبر الإنترنت أكثر عرضة للاختراق، ونصحت مسؤولي الأنظمة بمراجعة ملفات السجلات مثل /var/log/scripts.log لرصد مؤشرات الاختراق المحتملة. من بين الأمثلة التي ذكرتها الشركة: إدخالات غير مألوفة تتعلق برفع قوائم المستأجرين أو أرقام الأجهزة عبر سكربتات مشبوهة، مثل تحميل ملف “malicious.csv” أو قوائم أرقام تسلسلية غير معروفة.
دور الباحثين ومخاطر مستقبلية
الثغرة الجديدة تم اكتشافها والإبلاغ عنها من قبل فريق باحثي “Google Mandiant”، وهم: تشيستر سونغ، بيت بونيكارن، ولوجسواران ناداراجان. ورغم أن هوية الجهات التي تستغل الثغرة حالياً غير معروفة، إلا أن السياق العام يشير إلى أن مجموعات التهديد المتقدمة قد تكون وراء هذه الهجمات، خاصة مع تزايد استهداف البنى التحتية للشبكات واسعة النطاق SD-WAN.
ويأتي هذا الكشف بعد أيام قليلة من إعلان “سيسكو” عن ثغرة أخرى عالية الخطورة في Unified Communications Manager (CVE-2026-20230) بتقييم 8.6، مع توفر كود إثبات المفهوم علناً، وإن لم يتم رصد استغلال فعلي لها حتى الآن. هذا التتابع السريع في ظهور الثغرات يعكس حجم التحديات الأمنية التي تواجهها المؤسسات في حماية أنظمتها الحيوية.
