الأمن السيبراني
#CiscoSDWAN
#أمن_سيبراني
ثغرة Cisco SD-WAN حرجة (CVE-2026-20127) تُستغل منذ 2023
أصدرت Cisco تحذيراً عاجلاً بشأن ثغرة أمنية حرجة (CVE-2026-20127) في منتجات Cisco Catalyst SD-WAN، تُستغل بنشاط في هجمات Zero-day منذ عام 2023. تسمح هذه الثغرة للمهاجمين باختراق وحدات التحكم عن بُعد وإضافة أقران ضارين إلى الشبكات المستهدفة، مما يمثل تهديداً خطيراً لأمن البيانات والبنية التحتية.
ماهية الثغرة وخطورتها
تحمل الثغرة CVE-2026-20127 تصنيف خطورة قصوى يبلغ 10.0، وتؤثر على منتجات Cisco Catalyst SD-WAN Controller (المعروف سابقاً باسم vSmart) وCisco Catalyst SD-WAN Manager (المعروف سابقاً باسم vManage)، سواء في التثبيتات المحلية أو السحابية. وقد نوهت Cisco إلى أن هذه الثغرة تعود إلى آلية مصادقة الأقران (peering authentication) التي لا تعمل بشكل صحيح.
يمكن للمهاجمين استغلال هذه الثغرة عن طريق إرسال طلبات مصممة خصيصاً إلى النظام المتأثر. يتيح الاستغلال الناجح للمهاجم تسجيل الدخول إلى وحدة تحكم Cisco Catalyst SD-WAN المتأثرة كحساب مستخدم داخلي ذي امتيازات عالية وغير جذري. وباستخدام هذا الحساب، يمكن للمهاجم الوصول إلى NETCONF والتلاعب بتكوين الشبكة لنسيج SD-WAN بأكمله.
كيف يتم استغلال الثغرة؟
تعتبر Cisco Catalyst SD-WAN منصة شبكات قائمة على البرمجيات، تربط المكاتب الفرعية ومراكز البيانات والبيئات السحابية عبر نظام مركزي مُدار. وهي تستخدم وحدة تحكم لتوجيه حركة المرور بشكل آمن بين المواقع عبر اتصالات مشفرة. وبإضافة قرين ضار (rogue peer)، يمكن للمهاجم إدخال جهاز خبيث إلى بيئة SD-WAN يظهر وكأنه شرعي.
يمكن لهذا الجهاز بعد ذلك إنشاء اتصالات مشفرة والإعلان عن شبكات تحت سيطرة المهاجم، مما قد يسمح لهم بالتوغل بشكل أعمق في شبكة المؤسسة. وقد أشارت Cisco Talos إلى أن الثغرة استُغلت بنشاط في الهجمات، وتتبع النشاط الضار تحت اسم "UAT-8616"، مع تقييم عالٍ بأن الجهة الفاعلة للتهديد هي جهة متطورة للغاية.
تكتيكات الهجوم المعقدة
تكشف تقارير Talos أن الاستغلال يعود إلى عام 2023 على الأقل، حيث تشير معلومات الشركاء الاستخباراتيين إلى أن الجهة الفاعلة للتهديد ربما صعدت إلى الوصول الجذري (root access) عن طريق الرجوع إلى إصدار أقدم من البرنامج، واستغلال ثغرة CVE-2022-20775 للحصول على هذا الوصول، ثم استعادة إصدار البرنامج الأصلي. هذا التكتيك يسمح للمهاجم بالحصول على الوصول الجذري مع التهرب من الكشف.
تحذيرات حكومية عاجلة
تم الكشف عن هذا الاستغلال في تحذيرات منسقة بين Cisco والسلطات الأمريكية والبريطانية. ففي 25 فبراير 2026، أصدرت CISA توجيهاً طارئاً (26-03) يطلب من وكالات الفرع التنفيذي المدني الفيدرالي جرد أنظمة Cisco SD-WAN، وجمع الأدلة الجنائية، وضمان تخزين السجلات الخارجية، وتطبيق التحديثات، والتحقيق في أي اختراقات محتملة مرتبطة بـ CVE-2026-20127 وCVE-2022-20775.
أكدت CISA أن الاستغلال يشكل تهديداً وشيكاً للشبكات الفيدرالية، ويجب تحديث الأجهزة بحلول الساعة 5:00 مساءً بالتوقيت الشرقي في 27 فبراير 2026. كما حذر دليل مشترك من CISA والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) من أن الجهات الخبيثة تستهدف عمليات نشر Cisco Catalyst SD-WAN عالمياً لإضافة أقران ضارين، ثم تنفيذ إجراءات لاحقة للحصول على الوصول الجذري والحفاظ على السيطرة المستمرة.
شددت التحذيرات على أنه يجب عدم تعريض واجهات إدارة SD-WAN للإنترنت أبداً، وحثت المؤسسات على التحديث الفوري وتأمين الأنظمة المتأثرة. صرح أولي وايتهاوس، المدير التقني في NCSC: "توضح تنبيهاتنا الجديدة أنه يجب على المؤسسات التي تستخدم منتجات Cisco Catalyst SD-WAN التحقيق بشكل عاجل في تعرضها للاختراق والبحث عن أي نشاط خبيث، باستخدام نصائح البحث عن التهديدات الجديدة التي تم إعدادها مع شركائنا الدوليين لتحديد أدلة الاختراق".
مؤشرات الاختراق (IoCs) وإجراءات الحماية
تحث Cisco وTalos المؤسسات على مراجعة السجلات بعناية على أي أنظمة Catalyst SD-WAN Controller مكشوفة للإنترنت، بحثاً عن علامات أحداث إقران غير مصرح بها ونشاط مصادقة مشبوه. توصي الشركة المسؤولين بمراجعة ملف /var/log/auth.log للبحث عن إدخالات تظهر "Accepted publickey for vmanage-admin" من عناوين IP غير معروفة.
يجب على المسؤولين مقارنة عناوين IP هذه بعناوين IP للنظام المكونة المدرجة في واجهة SD-WAN Manager وعناوين البنية التحتية للإدارة أو التحكم المعروفة. إذا نجح عنوان IP غير معروف في المصادقة، فيجب اعتبار الأجهزة مخترقة وفتح قضية Cisco TAC. تشمل مؤشرات الاختراق الإضافية التي شاركتها Talos والتحذيرات الحكومية إنشاء وحذف حسابات مستخدمين ضارة، وتسجيلات دخول جذر غير متوقعة، ومفاتيح SSH غير مصرح بها في حسابات vmanage-admin أو root، والتغييرات التي تمكن PermitRootLogin.
يجب على المسؤولين أيضاً البحث عن ملفات سجل صغيرة بشكل غير عادي أو مفقودة، مما قد يشير إلى التلاعب بالسجلات، وعن تخفيضات وإعادة تشغيل البرامج، مما قد يشير إلى استغلال CVE-2022-20775 للحصول على امتيازات الجذر. للتحقق من استغلال CVE-2022-20775، توصي CISA بتحليل السجلات التالية:
/var/volatile/log/vdebug/var/log/tmplog/vdebug/var/volatile/log/sw_script_synccdb.log
توصيات حاسمة للحماية
يوجه دليل البحث والتأمين من CISA المؤسسات لجمع الأدلة الجنائية، بما في ذلك تفريغات الذاكرة الأساسية للمسؤولين والأدلة المنزلية للمستخدمين، ولضمان تخزين السجلات خارجياً لمنع التلاعب. إذا تم اختراق حساب الجذر، فيجب على الوكالات نشر تثبيتات جديدة بدلاً من محاولة تنظيف البنية التحتية الحالية.
يجب على المؤسسات أيضاً التعامل مع أحداث الإقران غير المتوقعة أو نشاط وحدة التحكم غير المبرر كمؤشرات محتملة للاختراق والتحقيق فيها فوراً. توصي كل من CISA وUK NCSC بتقييد التعرض للشبكة، ووضع مكونات التحكم في SD-WAN خلف جدران الحماية، وعزل واجهات الإدارة، وإعادة توجيه السجلات إلى أنظمة خارجية، وتطبيق إرشادات Cisco للتأمين. تؤكد Cisco بشدة على أن الترقية إلى إصدار برنامج ثابت هو الطريقة الوحيدة لمعالجة CVE-2026-20127 بشكل كامل.
الأسئلة الشائعة
هي ثغرة حرجة (خطورة 10.0) في منتجات Cisco Catalyst SD-WAN تسمح بتجاوز المصادقة، مما يمكن المهاجمين من اختراق وحدات التحكم والوصول الجذري للشبكات.
يتم استغلالها عبر إرسال طلبات مصممة خصيصاً لآلية مصادقة الأقران، مما يتيح للمهاجمين تسجيل الدخول كحساب ذي امتيازات عالية والتلاعب بتكوين الشبكة وإضافة أقران ضارين.
تؤثر الثغرة على Cisco Catalyst SD-WAN Controller (vSmart سابقاً) وCisco Catalyst SD-WAN Manager (vManage سابقاً) في التثبيتات المحلية والسحابية.
يجب على المؤسسات تطبيق التحديثات الأمنية فوراً، وتأمين الأنظمة، وتقييد التعرض للشبكة، وعزل واجهات الإدارة، وتخزين السجلات خارجياً، والتحقق من مؤشرات الاختراق.
لا توجد حلول بديلة (workarounds) تخفف من حدة المشكلة بشكل كامل. الترقية إلى إصدار برنامج ثابت هي الطريقة الوحيدة الموصى بها لمعالجة الثغرة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!