🗓 الأربعاء - 18 مارس 2026، 09:50 مساءً |
⏱ 3 دقيقة |
👁 9 مشاهدة
ثغرة سيسكو FMC الحرجة تُستغل صفر‑يوم عبر فدية Interlock، ما يمنح المهاجمين وصولاً جذرياً ويجبر المؤسسات على التحرك فوراً لحماية الشبكات سريعاً.ما تفاصيل ثغرة سيسكو FMC وما خطورتها؟تستهدف الحملة برنامج Cisco Secure Firewall Management Center (FMC) من سيسكو، حيث تسمح الثغرة المسجلة باسم CVE-2026-20131 بتنفيذ كود Java عن بُعد بلا مصادقة وبصلاحيات root. الخلل ناتج عن Insecure Deserialization في بيانات Java ويمنح المهاجمين سيطرة كاملة.أظهرت بيانات شبكة مستشعرات عالمية تابعة لأمازون أن الاستغلال بدأ في 26 يناير 2026، أي قبل الإعلان الرسمي بأكثر من شهر. ووفقاً لمتابعة تيكبامين، حصلت العصابة على أفضلية زمنية مكّنتها من ضرب مؤسسات غير مُستعدة.المعرف: CVE-2026-20131 مع درجة CVSS 10.0نوع الخلل: Insecure Deserialization في Javaالأثر: تجاوز المصادقة وتنفيذ كود بصلاحيات rootفترة الاستغلال: منذ 26 يناير 2026 قبل الإعلان الرسميخطورة العيب تتضاعف لأن FMC تُستخدم لإدارة السياسات والجدران النارية مركزياً، ما يمنح المهاجم نقطة ارتكاز واسعة داخل الشبكة. لذلك فإن أي استغلال ناجح قد يفتح الطريق لانتشار جانبي وتعطيل الدفاعات بسرعة.كيف بدأت حملة Interlock لاستغلال الثغرة؟التحقيق كشف أن خطأ في أمن التشغيل لدى المهاجمين سمح برصد بنيتهم وأدواتهم، ما أكد أن مجموعة Interlock كانت تمتلك صفر‑يوم فعلياً. هذا الخطأ أتاح فهم سلسلة هجوم متعددة المراحل وأدوات وصول عن بعد مخصصة، وأظهر أنها تقدمت بأسبوع قبل التنبيهات.كيف بدأ الاختراق تقنياً؟يبدأ الهجوم عبر إرسال طلبات HTTP مصممة لمسار محدد داخل منصة FMC لإجبار الخادم على معالجة تدفق بايتات خبيث. بعدها يتم تنفيذ كود Java وتحضير البيئة لتنزيل الحمولة.طلبات HTTP معدلة إلى مسار محددتنفيذ كود Java بصلاحيات rootإشارة نجاح عبر HTTP PUTماذا يحدث بعد ذلك؟بعد نجاح الاختراق، ترسل الضحية طلب HTTP PUT إلى خادم خارجي لتأكيد الاستغلال، ثم تتلقى أوامر لتنزيل ملف ELF من خادم بعيد يستضيف أدوات إضافية مرتبطة بالحملة.ما الأدوات والمؤشرات المرتبطة بالحملة؟تتضمن الأدوات المرصودة حزمة متنوعة للسيطرة والاستطلاع وتجنب الرصد، ما يشير إلى مستوى احترافي في الإعداد. ويمكن تلخيص أبرز العناصر كالتالي:حصان وصول عن بعد مخصص (RAT)سكربتات استطلاع للشبكات والخدماتأدوات إخفاء وتجنب الرصدبوابة تفاوض فدية عبر TORالتحليلات تربط النشاط بمؤشرات تشغيلية وتقنية متقاربة مثل ملاحظة الفدية وبوابة تفاوض عبر TOR، مع دلائل على عمل المهاجمين غالباً ضمن نطاق UTC+3.كيف تحمي المؤسسات نفسها من استغلال الثغرة؟بسبب الاستغلال النشط، توصي الجهات الأمنية بالتحرك العاجل لتقليل المخاطر داخل الشبكات. الأولوية هي تحديث الأنظمة وإجراء فحوصات بحثاً عن مؤشرات الاختراق.تطبيق التحديثات الأمنية فوراً على منصات سيسكوإجراء تقييمات أمنية وتحليل سجلات الدخولمراجعة نشر ScreenConnect لرصد أي تثبيت غير مصرحتفعيل مراقبة حركة الشبكة واكتشاف الاتصالات الخارجة المشبوهةتعزيز تقسيم الشبكة ومبدأ أقل صلاحيةختاماً، تؤكد تيكبامين أن مواجهة صفر‑يوم لا تتعلق بثغرة واحدة فقط، بل بقدرة المؤسسات على الرصد والاستجابة السريعة. إبقاء الحماية محدثة ومراجعة الثغرات مثل ثغرة سيسكو FMC يقللان فرص النجاح أمام هجمات الفدية.