ثغرة سيسكو FMC الصفرية تُستغل لفدية Interlock

ثغرة سيسكو FMC الحرجة تُستغل صفر‑يوم عبر فدية Interlock، ما يمنح المهاجمين وصولاً جذرياً ويجبر المؤسسات على التحرك فوراً لحماية الشبكات سريعاً.

ما تفاصيل ثغرة سيسكو FMC وما خطورتها؟

تستهدف الحملة برنامج Cisco Secure Firewall Management Center (FMC) من سيسكو، حيث تسمح الثغرة المسجلة باسم CVE-2026-20131 بتنفيذ كود Java عن بُعد بلا مصادقة وبصلاحيات root. الخلل ناتج عن Insecure Deserialization في بيانات Java ويمنح المهاجمين سيطرة كاملة.

أظهرت بيانات شبكة مستشعرات عالمية تابعة لأمازون أن الاستغلال بدأ في 26 يناير 2026، أي قبل الإعلان الرسمي بأكثر من شهر. ووفقاً لمتابعة تيكبامين، حصلت العصابة على أفضلية زمنية مكّنتها من ضرب مؤسسات غير مُستعدة.

• المعرف: CVE-2026-20131 مع درجة CVSS 10.0
• نوع الخلل: Insecure Deserialization في Java
• الأثر: تجاوز المصادقة وتنفيذ كود بصلاحيات root
• فترة الاستغلال: منذ 26 يناير 2026 قبل الإعلان الرسمي

خطورة العيب تتضاعف لأن FMC تُستخدم لإدارة السياسات والجدران النارية مركزياً، ما يمنح المهاجم نقطة ارتكاز واسعة داخل الشبكة. لذلك فإن أي استغلال ناجح قد يفتح الطريق لانتشار جانبي وتعطيل الدفاعات بسرعة.

كيف بدأت حملة Interlock لاستغلال الثغرة؟

التحقيق كشف أن خطأ في أمن التشغيل لدى المهاجمين سمح برصد بنيتهم وأدواتهم، ما أكد أن مجموعة Interlock كانت تمتلك صفر‑يوم فعلياً. هذا الخطأ أتاح فهم سلسلة هجوم متعددة المراحل وأدوات وصول عن بعد مخصصة، وأظهر أنها تقدمت بأسبوع قبل التنبيهات.

كيف بدأ الاختراق تقنياً؟

يبدأ الهجوم عبر إرسال طلبات HTTP مصممة لمسار محدد داخل منصة FMC لإجبار الخادم على معالجة تدفق بايتات خبيث. بعدها يتم تنفيذ كود Java وتحضير البيئة لتنزيل الحمولة.

• طلبات HTTP معدلة إلى مسار محدد
• تنفيذ كود Java بصلاحيات root
• إشارة نجاح عبر HTTP PUT

ماذا يحدث بعد ذلك؟

بعد نجاح الاختراق، ترسل الضحية طلب HTTP PUT إلى خادم خارجي لتأكيد الاستغلال، ثم تتلقى أوامر لتنزيل ملف ELF من خادم بعيد يستضيف أدوات إضافية مرتبطة بالحملة.

ما الأدوات والمؤشرات المرتبطة بالحملة؟

تتضمن الأدوات المرصودة حزمة متنوعة للسيطرة والاستطلاع وتجنب الرصد، ما يشير إلى مستوى احترافي في الإعداد. ويمكن تلخيص أبرز العناصر كالتالي:

• حصان وصول عن بعد مخصص (RAT)
• سكربتات استطلاع للشبكات والخدمات
• أدوات إخفاء وتجنب الرصد
• بوابة تفاوض فدية عبر TOR

التحليلات تربط النشاط بمؤشرات تشغيلية وتقنية متقاربة مثل ملاحظة الفدية وبوابة تفاوض عبر TOR، مع دلائل على عمل المهاجمين غالباً ضمن نطاق UTC+3.

كيف تحمي المؤسسات نفسها من استغلال الثغرة؟

بسبب الاستغلال النشط، توصي الجهات الأمنية بالتحرك العاجل لتقليل المخاطر داخل الشبكات. الأولوية هي تحديث الأنظمة وإجراء فحوصات بحثاً عن مؤشرات الاختراق.

• تطبيق التحديثات الأمنية فوراً على منصات سيسكو
• إجراء تقييمات أمنية وتحليل سجلات الدخول
• مراجعة نشر ScreenConnect لرصد أي تثبيت غير مصرح
• تفعيل مراقبة حركة الشبكة واكتشاف الاتصالات الخارجة المشبوهة
• تعزيز تقسيم الشبكة ومبدأ أقل صلاحية

ختاماً، تؤكد تيكبامين أن مواجهة صفر‑يوم لا تتعلق بثغرة واحدة فقط، بل بقدرة المؤسسات على الرصد والاستجابة السريعة. إبقاء الحماية محدثة ومراجعة الثغرات مثل ثغرة سيسكو FMC يقللان فرص النجاح أمام هجمات الفدية.